【漏洞修复】渗透测试，tomcat泄露程序错误处理信息或软件版本等信息（低危）

最新推荐文章于 2025-03-25 22:03:28 发布

laewilson

最新推荐文章于 2025-03-25 22:03:28 发布

阅读量3.8k

点赞数

分类专栏：问题解决文章标签： tomcat 安全漏洞

本文链接：https://blog.youkuaiyun.com/u012754182/article/details/114013667

版权

问题解决专栏收录该内容

4 篇文章

订阅专栏

本文介绍如何通过修改Tomcat的ServerInfo.properties文件，删除版本信息来防止中间件版本泄露，提供详细操作步骤和安全建议。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

问题

在渗透测试中，tomcat报错页面，会显示版本号。本质上泄露了中间件软件的信息，给攻击者提供了信息。属于低危漏洞

解决方案：

1. 升级tomcat中间件到9及以上，本人亲测没问题，可能是tomcat官方在新版本修复了这个漏洞

2. 删除tomcat中版本的信息。

3. 应用里做全局拦截，然后自定义错误页面（侵入应用代码，且须逐个应用修复，不推荐）

关于方案2 的实操：

修改tomcat/lib/catalina.jar包中的ServerInfo.properties配置文件。

具体ServerInfo.properties的位置在catalina.jar\org\apache\catalina\util

首先备份tomcat/lib/catalina.jar, 然后下载到本地进行修改。

a. 用好压（压缩工具）打开如下图：

b. 打开ServerInfo.properties ，把版本相关信息删除掉，修改成下图效果:

c.保存，上传回tomcat/lib/ ，重启tomcat。修复效果如下图

方案2 参考：隐藏Tomcat异常页面中的版本信息，Tomcat服务器版本号泄露（链接：https://blog.youkuaiyun.com/ycde2009/article/details/105784878/）

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

laewilson

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

web渗透--45--报错信息测试

武天旭的博客

09-22

1391

1、漏洞描述通常在Web应用的渗透测试中，我们会遇到很多来自应用或web服务器的报错信息。当使用一些用工具特殊处理过或人工编写的请求时，可能会触发这些错误显示。这样的报错信息对于渗透测试人员来说非常有利，因为其中包含了大量有关数据库、bug或其他与web应用直接关联的技术组建相关的技术信息。

web渗透--52--异常信息泄漏

武天旭的博客

09-22

6402

1、漏洞名称：未自定义统一错误页面导致信息泄露，抛出异常信息泄露，错误详情信息泄漏 2、漏洞描述： JBOSS默认配置会有一个后台漏洞，漏洞发生在jboss.deployment命名空间，中的addURL()函数,该函数可以远程下载一个war压缩包并解压。如果压缩包里含有webshell文件，是直接可以解析的。 3、检测方法 1、通过web扫描工具对网站扫描可得到结果。 2、或者通过手工，去尝试...

参与评论您还未登录，请先登录后发表或查看评论

Tomcat--服务器版本号泄露（低危）解决方案

最新发布

m0_67170526的博客

03-25

1250

攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件，例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下，配合文件包含的利用还可以达到远程代码执行的危害。在这个页面抓一个包，然后修改传参方式为PUT方式，路径写你要在目标服务器上创建的文件名，Tomcat对文件后缀有一定检测（不能直接写jsp），但我们使用一些文件系统的特性（如Linux下可用。这里发现8009端口是开放状态，可以进行尝试AJP文件包含。

渗透测试tomcat错误信息泄露解决办法

huan1213858的博客

10-23

1479

showServerInfo：如果发生任何错误，用于在错误页面上显示当前服务器标志（默认true）showReport：如果发生错误用于返回错误页面的错误信息和状态码（默认true）1、使用tomcat8.5.16，会重定向非法url到登录url。2、配置server.xml，加上。3.项目web.xml配置。状态码4.1跳转到指定页面。

Tomcat中间件版本信息泄露

K1nney的博客

03-02

3227

中间件版本信息泄露

Tomcat错误信息（服务器版本号）泄露（低危）

qq_34823218的博客

08-25

3055

一、问题描述 Tomcat报错页面泄漏Apache Tomcat/7.0.68相关版本号信息，是攻击者攻击的途径之一。因此实际当中建议去掉版本号信息。二、解决办法 windows 1、进入到tomcat/lib目录下，用电脑自带解压软件打开catalina.jar 进入到\org\apache\catalina\util目录下 2、编辑ServerInfo.properties文件，编辑最后三行，去掉版本号等信息 3、改完后自动跳出提示，点击“是”自动更新catalina.jar重新打包。.

渗透安全测试常见漏洞分类

weixin_44945788的博客

04-01

962

LocalStorage 存储凭据。Web Service 接口泄露。XML外部实体注入(XXE)Tomcat默认管理后台暴露。HTTP头部SQL注入漏洞。SourceMap文件泄露。启用了不安全的HTTP方法。SSRF服务器端请求伪造。HTTP头跨站脚本攻击。存在测试文件或样例文件。cookie中存放密码。Git 源码信息泄露。SVN 源码信息泄露。banner信息泄露。CSRF跨站请求伪造。失效的验证码验证机制。

个人笔记-渗透测试-逻辑漏洞的分类与使用情景

weixin_48162696的博客

06-03

1413

逻辑漏洞的举例，相关检查，及防御措施

【漏洞挖掘】——62、WEB-INF/web.xml 泄露

Fly_鹏程万里

10-20

2481

WEB-INF/web.xml信息泄露是一种常见的安全问题，通常发生在Web应用程序未被正确配置或管理的情况下，攻击者可以通过暴力破解或者其他手段访问WEB-INF目录下的web.xml文件从而获得Web应用程序的配置信息，例如:安全配置、数据库连接信息、API密钥等。

信息服务上线渗透检测网络安全检查报告和解决方案4(网站风险等级评定标准、漏洞危害分级标准、漏洞安全建议)

cc123489ll的博客

05-24

1086

漏洞扫描是指对网络应用、服务器等进行全面的安全检测，以发现其中存在的安全漏洞，从而及时修复，确保网络系统的安全性。一种常见的漏洞扫描方法是黑盒测试，即对系统进行模拟攻击来发现潜在的漏洞风险。以下是一些常用的扫描工具：Nessus：开源的漏洞扫描工具，可用于扫描多种操作系统和应用程序漏洞，并提供了详细的用户和管理员报告。Acunetix：自动化的漏洞扫描工具，支持扫描 Web 应用、网络、API 等，能够发现多种漏洞类型。

SpringBoot漏洞！Apache Tomcat有信息泄露风险（附解决方案）

Carlos_ForYou的博客

08-15

2853

解决Apache Tomcat信息泄露漏洞

Tomcat中间件版本信息泄露解决方案

bobozai86的博客

11-16

4554

修改之前默认报错页面信息会暴露出版本号。进入tomcat的lib目录找到catalina.jar文件 unzip catalina.jar之后会多出两个文件夹进入org/apache/catalina/util编辑配置文件ServerInfo.properties修改为： server.info=ApacheTomcat server.number=0.0.0.0 server.b...

Tomcat版本号泄露漏洞修复

weixin_43959970的博客

06-27

1176

#当调用不存在的页面或服务时，Tomcat会返回版本号或Spring异常信息。##解决：在conf/server.xml文件的Host结节下添加如下内容。## 另一种解决方案是在每个一网站的web.xml里配置错误重定向页面。

挖洞经验 | 通过Tomcat Servlet示例页面发现的Cookie信息泄露漏洞

技术超强的网络安全平台

08-17

1912

首先，来认识一下Tomcat的示例文件，它是Tomcat安装后默认显示的一些页面，其中包含了很多servlets 和 JSP的测试示例，尤其是其中的会话示例接口/examples/servlets/servlet/SessionExample和/examples/servlets/servlet/CookieExample，由于会话变量的全局性，导致攻击者可以管理员身份通过该接口对会话进行操控，存在安全风险。在与朋友就该页面进行交流之后，他的经验也让我打消了疑虑，这个点的利用也仅如此，我们继续。...

Tomcat Servlet示例页面之Cookie信息泄露

千寻的博客

10-24

7558

文章目录漏洞描述tomcat 介绍漏洞发现漏洞复现cookie信息免责声明漏洞描述在目标网站Tomcat Examples的遗留测试示例中，发现了Cookie Example示例页面显示了主站的所有Cookie信息，可通过其实现Cookie窃取。 tomcat 介绍 Tomcat的示例文件，它是Tomcat安装后默认显示的一些页面，其中包含了很多servlets 和 JSP的测试示例尤其是其中的会话示例接口/examples/servlets/servlet/SessionExample和/exam

浅谈Nginx（或LNMP）、Apache（或LAMP）、Tomcat版本信息泄露危险和修复方法

满天点点星辰的博客

04-07

4781

在使用Nginx（或lnmp）做反向代理、集群或是做跨域配置、Apache（或lamp）和Tomcat做为应用端使用时，其相关版本号和软件名称信息泄露，此时攻击者会利用相应软件版本的当前漏洞，进行有效的相应攻击。

中间件漏洞--tomcat

夜行者的博客

02-21

2002

1.后台地址泄露解决办法： 1）. 删除TOMCAT_HOME/webapps/docs、examples、manager、ROOT、host-manager 2）. 编辑TOMCAT_HOME/web.xml，修改<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>下的初始化参数<param-name>listings</param-name>...

tomcat漏洞如何修复

baimaozi008的博客

04-28

2039

Apache Tomcat 是一款广泛使用的开源Java Servlet容器，由于其广泛的使用，它经常成为安全研究和攻击的目标。修复Tomcat中的漏洞是保证Web应用安全的重要一环。

Apache Tomcat修复严重漏洞：信息泄露与远程执行风险

腾讯云安全中心于2019年9月19日报告称，Apache Tomcat软件包存在两个严重级别的安全漏洞，分别是CVE-2017-12616信息泄露漏洞和CVE-2017-12615远程代码执行漏洞。这些漏洞使得攻击者有可能获取用户服务器上的JSP文件...