中间件版本漏洞(低危)

最新推荐文章于 2025-02-22 19:44:02 发布
原创 最新推荐文章于 2025-02-22 19:44:02 发布 · 941 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客介绍了处理中间件版本漏洞的方法,可通过Nginx统一处理Nginx和Tomcat等版本信息。在nginx.conf的http中添加server_tokens off解决nginx版本号显示问题,添加proxy_intercept_errors on等配置解决后端报错时显示中间件问题。

中间件版本漏洞:Nginx和Tomcat等版本信息,可统一由Nginx处理如下:

在nginx.conf的http中
添加 server_tokens off; 解决nginx版本号的显示 ;
添加如下解决tomcat等后端报错时显示中间件等:
proxy_intercept_errors on;
然后在server 添加
error_page 404 /404.html;
error_page 400 403 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}

s4
关注
专栏目录
漏洞修复】Tomcat服务器版本号泄露-漏洞修复
后端研发工程师Marion的博客
10-10 1996
二、解决办法。
weblogic中间件漏洞复现
kukudeshuo的博客
02-09 1443
weblogic中间件漏洞复现 weblogic介绍 WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 WebLogic是美商Oracle的主要产品之一,是并购BEA得来。是商业市场上主要的Java(J2EE)应
服务器中间件版本信息泄露,中间件版本信息泄露漏洞
weixin_42427302的博客
08-05 6092
中间件版本信息泄露漏洞《Web安全测试学习手册》- 中间件版本信息泄露漏洞0x00 中间件版本信息泄露漏洞1)什么是中间件版本信息泄露漏洞通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件版本信息泄露漏洞。2)中间件版本信息泄露漏洞的特点通常出现在默认安装好的Web中间件上,大部分管理员都不会修改这个标志。0x01 中间件版本信息泄露漏洞 - 风险等级0x02 中间件版本信息泄露...
关闭nginx头部版本号和显示的nginx
lingdaz的专栏
10-14 1723
1、关闭nginx版本号比较简单,只需要在nginx.conf的http内添加如下内容即可
安全中级2:nginx中间件漏洞
weixin_62870380的博客
05-22 3030
nginx中间件漏洞,CRLF(换行符漏洞)、目录穿越漏洞、add_heard漏洞nginx文件名逻辑漏洞nginx解析漏洞
Tomcat中间件版本信息泄露
m0_54849806的博客
08-31 3702
解压后,通过vi编辑器修改解压出来的ServerInfo.properties文件(在/org/apache/catalina/util/下)进入Tomcat的webapps/ROOT目录,新增error_404.html页面,使用自定义页面已达到隐藏中间件版本信息的目的。Tomcat服务在响应404/500等网络错误时,默认会将当前版本信息显示出来,这样就造成了中间件版本信息泄露这样的漏洞。进入Tomcat下的lib目录,备份catalina.jar文件后,解压该文件。...
漏扫问题-服务器中间件版本信息泄露(消除/隐藏Nginx版本号
Ximerr的博客
02-22 1432
使用Nginx部署应用程序,请求中默认会返回Nginx版本信息,攻击者可以根据版本号来了解相关漏洞并进行针对性攻击。
漏洞扫描工具
01-08 1224
国内外对Web服务器及应用指纹的研究,主要都是通过构造大量特殊的HTTP请求与Web服务器交互,从其响应数据包信息中提取提取指纹特征信息,然后通过与指纹数据库进行比对,从而获取到Web服务器及应用的组件信息和版本信息。该模块采用提取指纹特征码特征信息来识别Web指纹,系统通过构造大量特殊的HTTP请求与Web服务器交互,从其响应数据包信息中提取提取指纹特征信息,然后通过与指纹数据库进行比对,从而获取到Web服务器及应用的组件信息和版本信息。我们基于当前的固定的 JSON 格式去解析取得的数据。
WEB攻防-ASP中间件IIS 短文件名探针安全漏洞
weixin_45534587的博客
04-23 620
IIS短文件名探针安全漏洞是一个与IIS(Internet Information Services)服务相关的安全问题。该漏洞主要是由于HTTP请求中使用了旧DOS 8.3名称约定(SFN)的代字符(〜)波浪号,这使得远程攻击者有可能在Web根目录下得到文件和文件夹名称,即使这些名称本不应该被访问。Windows 支持以 8.3 格式生成与 MS-DOS 兼容的(短)文件名,以允许基于 MS-DOS 或 16 位 Windows的程序访问这些文件。利用工具:iis_shortname_Scan.py。
【WebLogic】Oracle发布2024年第四季度中间件安全公告
cnskylee的博客
10-16 1721
Oracle于美国时间2024年10月15日发布了 WebLogic 12c(12.2.1.4.0)和14c(14.1.1.0.0)两个大版本2024年第4季度的安全公告,涉及漏洞ID共计 6 个,包含2个高漏洞 2 个,4个中漏洞,其中有 4 个漏洞涉及到核心组件(Core)。截至目前,Oracle官方扔提供补丁技术支持的WebLogic中间件版本还有2个,分别为12c(12.2.1.4.0)、14c(14.1.1.0.0),该两个版本的补丁技术支持日期分别到2025年7月、2028年1月。
通过weblogic报错页面发现版本_weblogic常见操作及错误
weixin_39640762的博客
12-18 1223
weblogic是由美国bea公司出品的,他是基于javaEE的一个中间件。Weblogic是用于开发,集成、部署和管理大型分布式Web应用、网络应用和数据库应用的java应用服务器,完全遵循J2EE1.4的规范本节就来聊聊weblogic常见的操作和错误,主要内容如下:一、weblogic模式修改二、linux下如何卸载weblogic三、如何查看weblogic的版本号四、启动weblogic...
Web中间件常见安全漏洞总结_web中间件常见漏洞总结,干货来袭
2401_84300070的博客
04-18 839
PHP根据URL映射,在服务器上寻找xxx.php文件,但是xxx.php不存在,又由于cgi.fix_pathinfo默认是开启的,因此PHP会继续检查路径中存在的文件,并将多余的部分当作 PATH_INFO。接着PHP在文件系统中找到.jpg文件,而后以PHP的形式执行.jpg的内容,并将/xxx.php存储在 PATH_INFO 后丢弃,因此我们在phpinfo中的$_SERVER[‘PATH_INFO’]看的到值为空。
常见的中间件漏洞
m0_73354559的博客
01-02 991
当在Tomcat的conf(配置目录下)/web.xml配置文件中添加readonly设置为false时,将导致该漏洞产⽣,(需要允许put请求) , 攻击者可以利⽤PUT方法通过精心构造的数据包向存在漏洞的服务器里面上传 jsp⼀句话文件,从而造成远程命令执行,getshell等。漏洞复现用BP抓包获取数据使用哥斯拉生成木马数据包头部由get改成put,后边加上1.jsp,木马就放在jsp里加个/,绕过检测上传状态码201上传成功,用哥斯拉连接。
中间件】一些中间件的相关漏洞总结
Monsterlz123的博客
07-16 2390
中间件】一些中间件的相关漏洞总结 Hello,各位小伙伴晚上好~ 这里是你们连续三天发文,高产似母猪的小编。 今天跟大家唠唠一些常见的中间件漏洞 包括常见的IIS、Apache、Nginx以及Tomcat 废话不多说,让我们直接开始吧~ (好啦我承认今天的表情包是因为好想去迪斯尼,难道是上年纪了吗,嗯?) 目录 一、IIS IIS 6.0 解析漏洞 IIS 7.5 解析漏洞 IIS 6...
Web应用安全测试-信息泄漏
06-07 2589
Web应用安全测试-信息泄漏,列举常见漏洞描述、测试方法、风险等级级修复建议
中间件漏洞及修复汇总
看着博客敲代码
07-29 3398
中间件漏洞及修复汇总 1.Nginx文件解析漏洞漏洞等级:高 漏洞描述: nginx文件解析漏洞产生的原因是网站中间键版本,可将任意文件当作php可执行文件来执行,可导致攻击者执行恶意代码来控制服务器。 漏洞害: 机密数据被窃取; 核心业务数据被篡改; 网页被篡改; 数据库所在服务器被攻击变为傀儡主机,导致局域网(内网)被入侵。 修复方案: 升级中间件版本 部署Web应用防火墙 对数据库操作进行监控 修改php.ini文件,将cgi.fix_pathinfo的值设置为0; 在Nginx配置文件中
Tomcat错误信息(服务器版本号)泄露(
Denial_learn的博客
10-09 981
1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar 进入到\org\apache\catalina\util目录下 2、编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等信息 3、改完后自动跳出提示,点击“是”自动更新catalina.jar重新打包。 ...
中间件漏洞--tomcat
夜行者的博客
02-21 2182
1.后台地址泄露解决办法: 1). 删除TOMCAT_HOME/webapps/docs、examples、manager、ROOT、host-manager 2). 编辑TOMCAT_HOME/web.xml,修改<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>下的初始化参数<param-name>listings</param-name>...
在渗透测试中快速检测常见中间件、组件的高漏洞
公众号:乌云安全
06-08 1279
渗透测试,漏洞发掘,安全工具,中间件漏洞常见漏洞快速检测,目前包含以下漏洞的检测。
tomcat 8.0.23版本存在的漏洞
最新发布
10-31
嗯,用户现在在询问Tomcat 8.0.23版本的具体漏洞信息,看来是从之前的防火墙登录问题转向了中间件安全领域。用户提供的引用资料里提到了多个Tomcat漏洞,但版本号比较分散,需要重点梳理与8.0.23直接相关的漏洞。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值