2. 程式人生 > >Tomcat預設介面可導致版本資訊洩露+管理後臺爆破

Tomcat預設介面可導致版本資訊洩露+管理後臺爆破

阿新 發佈:2019-01-18

由於配置的Tomcat時,管理頁面未進行刪除或者許可權角色配置,攻擊者可以通過暴力猜解進入到管理後臺,從而上傳獲取shell。

Tomcat的預設工具manager配置,在很多的生產環境中由於基本用不到、或者是不太需要使用Tomcat預設的manager管理頁面時一般都會把Tomcat的預設webapp下的內容給刪除了,但是如果需要使用Tomcat預設的manager來管理專案時就需要保留相應的檔案目錄。在Tomcat中的webapps中有如下目錄:docs(Tomcat本地說明文件)、examples(Tomcat相關的deamon示例)、host-manager(主機頭管理工具)、manager(專案管理工具)、ROOT(Tomcat預設頁),其中需要保留的是host-manager、manager、ROOT這3個目錄而從Tomcat 6開始為了安全預設條件下Tomcat的host-manager、manager是不能訪問的(http 401拒絕),如需訪問需要分配相關的角色許可權。加強口令強度,杜絕弱口令。

還需要做如下修改:

1、進入到tomcat/lib目錄下,用電腦自帶解壓軟體開啟catalina.jar  進入到\org\apache\catalina\util目錄下
2、編輯ServerInfo.properties檔案,編輯最後三行,去掉版本號等資訊
3、改完後自動跳出提示,點選“是”自動更新catalina.jar重新打包。

相關推薦

Tomcat預設介面導致版本資訊洩露+管理後臺爆破

由於配置的Tomcat時,管理頁面未進行刪除或者許可權角色配置,攻擊者可以通過暴力猜解進入到管理後臺,從而上傳獲取shell。 Tomcat的預設工具manager配置,在很多的生產環境中由於基本用不到、或者是不太需要使用Tomcat預設的manager管理頁面時一般都會把Tomcat的預設webapp下的內

檢測到錯誤頁面web應用伺服器版本資訊洩露

比方說我現在訪問:http://localhost:8080/pages/xx.jsp,應該會報404,沒有該頁面,但是會顯示出所用伺服器的資訊:所以為了避免產生此類漏洞個,應該對錯誤進行處理,在web.xml新增對相應的錯誤頁面:<!-- 預設的錯誤處理頁面 --&g

一、linux 常用命令之 linux版本資訊 系統管理與設定 持續更新******

sbin/init: ELF 64-bit LSB executable, AMD x86-64, version 1 (SYSV), for GNU/Linux 2.6.9, dynamically linked (uses shared libs), for GNU/Linux 2.6.9, stripp

檢視Linux、Tomcat、JAVA版本資訊

檢視Linux、Tomcat、JAVA版本資訊 1 [[email protected] bin]# cd /usr/local/tomcat/tomcat_jdt/bin/ 2 [[email protected] bin]# sh version.sh

關於新建Android Studio專案時預設的編譯sdk版本導致的相容問題

在更新了5.0以上若干個sdk版本後,每次新建專案都會導致一大堆問題,預設使用的編譯sdk版本應該是你所擁有的sdk的最高版本 我嘗試在sdk manager上刪除所有的5.0以上的sdk platform,重新新建專案,一切問題解決了。(額。。。。原諒我('_'),我只想

FTP伺服器版本資訊被獲取(CVE-1999-0614)漏洞整改方法

vsftpd的banner中預設有當前版本號,可通過/etc/vsftpd/vsftpd.conf中的ftpd_banner項來自定義banner資訊1,測試檢視版本資訊(埠預設21,可根據實際修改)[[email protected]]$ telnet 127.0

SSH版本資訊被獲取漏洞解決方法

redhat 企業版 6.1用漏洞掃描軟體掃出:SSH版本資訊可被獲取漏洞,建議解決方法為* 修改原始碼或者配置檔案改變SSH服務的預設banner修改SSH登入時的Banner資訊1、編輯一個檔案,輸入想要顯示的內容:#vi /etc/ssh_banner_change 2

Tomcat伺服器版本洩露-低危漏洞修復

一、問題描述Tomcat報錯頁面洩漏Apache Tomcat/7.0.52相關版本號資訊,是攻擊者攻擊的途徑之一。因此實際當中建議去掉版本號資訊。二、解決辦法 1、進入到tomcat/lib目錄下,用電腦自帶解壓軟體開啟catalina.jar  進入到\org\apache\catalina\u

metinfo全版本csrf漏洞(導致重灌)

漏洞檔案/admin/app/batch/csvup.php 程式碼 <?php $depth='../'; require_once $depth.'../login/login_check.php'; setlocale(LC_ALL,array('zh_CN.g

【PE】Windows平臺下為執行檔案或動態庫dll新增版本資訊

###Date: 2017/9/22 ###Author : SoaringLee   平常我們可以看到在Windows可執行檔案中,右鍵屬性中含有檔案版本,檔名稱和版本等資訊,本文講述怎麼新增這些

設定tomcat 預設java版本

設定setclasspath.bat,新增 set JAVA_HOME=D:\program Files\java\jdk1.7.0_79 set JRE_HOME=D:\program Files

4G VoLTE漏洞:致用戶地理位置和其它個人資訊洩露

首先要了解下,什麼是VoLTE。          VoLTE為英文Voice Over LTE的縮寫,直譯就是音訊通過LTE網路傳送,由此可以看出這是一項語音技術,VoLTE基於IMS服務和4G LTE網路。         通俗地講VoLTE其實就是使用你的資料流量來打電話,這和微信語音、Fa

c/c++中將git當前版本資訊編譯到執行檔案中

使用簡單Makefile,則可直接新增巨集定義: CPPFLAGS+=-DGIT_SHA1="$(shell git log --format='[sha1]:%h [author]:%cn [time]:%ci [commit]:%s [branch]:%d' -1)"

windows下設定QT程式的版本資訊、程式圖示和執行檔案圖示

一.設定QT程式的版本資訊 windows下的可執行檔案的屬性中有版本這個資訊,她含有版本資訊,描述,版權等等。:新建***.rc檔案,編輯rc檔案的資訊如下: #if defined(UNDER_CE) #include <winbase.h> #else #

dubbo開發環境搭建與tomcat集成、DEMO示例(最完整版本、帶管理控制臺、監控中心、zookeeper)

-s http服務 ppr context 正常 windows web容器 web.xml配置 web.xml 以windows為例,linux基本相同,開發環境一般linux,個人環境一般windows(如果不開額外vm的話)。 示例以dubbo官方自帶demo為例子

tomcat修改banner,隱藏版本

隱藏版本號 sof webapp pro tom webapps XML app uil 為了避免黑客針對某些版本進行攻擊,因此我們需要隱藏或者偽裝 Tomcat 的版本信息。針對該信息的顯示是由一個jar包控制的,該jar包存放在 Tomcat 安裝目錄下的lib目錄下,

tomcat伺服器記憶體不足導致的無法連線伺服器問題解決方法

在亞馬遜上申請的1G記憶體+8G硬碟的測試伺服器出現了連線不上伺服器的問題,重啟tomcat之後報錯如下: Using CLASSPATH:       /usr/tomcat/apache-tomcat-8.5.15/bin/bootstrap.jar:/usr/

PostgreSQL檢視版本資訊

1.檢視客戶端版本 $ psql --version psql (PostgreSQL) 11beta2   2.檢視伺服器版本 2.1檢視版本資訊 postgres=# show server_version;  server_version 

修改Tomcat預設訪問根目錄

Tomcat安裝後,Tomcat的主目錄是webapps/root目錄。 在conf資料夾下面找到server.xml 配置檔案開啟 在<hosts>  ......</hosts>中間新增一行 <Context path="" docBase="

Python指令碼抓取資訊洩露,獲取心怡妹子手機號並新增微信!

    答應了蛋蛋的文章一直沒空寫,主要也沒好的素材,平時有些有趣的挖洞經歷又總是懶得各種記錄截圖啥的 學習Python中有不明白推薦加入交流群 號:516107834 群裡有志同道合的小夥伴,互幫互助, 群裡有不錯的學習教程! 今天本來想寫篇技術專題,後