Apache Tomcat样例目录session操纵漏洞解读

【漏洞名称】:Apache Tomcat样例目录session操纵漏洞 (Apache Tomcat示例目录漏洞)

【漏洞等级】:中危,5.9分。

【漏洞描述】

Apache Tomcat默认安装页面中存在examples样例目录,里面存放着Servlets、JSP、WebSocket的一些服务脚本和接口样例。

【漏洞确认】

打开类似如下路径,看到类似内容,就是存在此漏洞,这个就是那个session样例。

更改一下目录,可以看到tomcat下默认包含的多个examples,可以继续点击查看。

【漏洞影响】

通过这个页面,可以允许用户对session来进行操控。因为session是全局通用的,因此攻击者可以利用该样例下的session来操控管理员的session来进行会话传输,即使用管理员的账户来进行恶意操作。

【影响版本】

所有Tomcat版本,因为这个样例文件是默认自带的,都有。

【修复方法】

直接删除examples样例目录下的资源。(没啥用,建议删了安心)

或者 设为禁止访问 ;做目录访问权限设置,防止目录遍历。

相关推荐
Jinkxs4 小时前
基础14-Java集合框架:掌握List、Set和Map的使用
java·list
遗憾皆是温柔5 小时前
3.JVM,JRE和JDK的关系是什么
java·开发语言·jvm·面试
洛可可白5 小时前
Spring Boot 应用结合 Knife4j 进行 API 分组授权管理配置
java·spring boot·后端
22:30Plane-Moon7 小时前
初识SpringBoot
java·spring boot·后端
黄昏晓x7 小时前
数据结构----排序
java·数据结构·排序算法
97zz7 小时前
项目配置文件正确但是启动失败,报配置文件内容错误或中间件地址与实际不符
java·中间件·springboot
小醉你真好9 小时前
Spring Boot + ShardingSphere 分库分表实战
java·spring boot·后端·mysql
Vdeilae9 小时前
IIS 让asp.net core 项目一直运行
java·服务器·asp.net
YY_TJJ9 小时前
8.4 Java Web(Maven P50-P57)
java·开发语言·maven