Tomcat爆出严重漏洞以及解决方案是什么
发表于:2025-12-02 作者:千家信息网编辑
千家信息网最后更新 2025年12月02日,这篇文章将为大家详细讲解有关Tomcat爆出严重漏洞以及解决方案是什么,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。一、漏洞原理具体来说就是 Apac
千家信息网最后更新 2025年12月02日Tomcat爆出严重漏洞以及解决方案是什么具体来说就是 Apache Tomcat 服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如: webapp 配置文件或源代码等。
由于 Tomcat 默认开启的 AJP 服务(8009 端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响 Tomcat 服务器上的 Web 目录文件。 根据资料显示,涉及到两个漏洞编号。
首先启动 apache tamcat 服务,访问 localhost: 8080 可以成功访问如下界面。
通过上图,我们可以确定到对应 Tomcat 的版本号。
然后再使用漏洞扫描工具对其进行端口扫描发现 8009、8080 都已端口开启,证明有该漏洞。
然后,大家可以利用 github 上别人写好的脚本进行攻击演示。 下载地址如下,有两个。 任选其一即可。
Poc1 下载地址: https://github.com/0nise/CVE-2020-1938
Poc2 下载地址: https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
下载好后进入该文件夹 cmd 命令执行并加上网址参数利用 poc。 需要注意的是 poc 为 py2 环境。 然后执行下面的命令。
执行成功后就可以看到成功访问到该文件 web.xml。 其他的 WEB-INF 下面的文件都可以访问到,包括你的源码文件,jsp、html、.class 等。
1、禁用Tomcat 的 AJP 协议端口,在 conf/server.xml 配置文件中注释掉
2、在 ajp 配置中的 secretRequired 跟 secret 属性来限制认证。
3、对 Tomcat 进行版本升级。
这篇文章将为大家详细讲解有关Tomcat爆出严重漏洞以及解决方案是什么,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。
一、漏洞原理
二、漏洞编号
CVE-2020-1938
CNVD-2020-1048
三、漏洞影响的版本
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
四、漏洞详情
五、漏洞修复方案
关于Tomcat爆出严重漏洞以及解决方案是什么就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。
漏洞
文件
端口
服务
方案
成功
地址
版本
攻击
配置
解决方案
两个
内容
命令
攻击者
文章
更多
服务器
目录
知识
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
oracle数据库取整
网络安全防护专业就业前景
数据库原理戴维
上海骏企网络技术有限公司
数据库和账套
sql固定服务器角色安全
期货平台软件开发
河南超频服务器解决方案
国三网络技术最后一大题
入职问网络安全
计算机网络安全风险有哪些
关于网络安全的雨
东莞汽车软件开发程序
手机按键精灵 新建数据库
数据库网络控制方式
服务器ping一下网关才能通
我的服务器
网络安全法对谷歌审查
国家的互联网科技
如何确立网络安全意识论文
北京西城区网络安全中心办公室
网络安全的事例100字
阴阳师小号要在一个服务器吗
数据库技术第二版实训五答案
网站的服务器添加哪些角色和服务
数据库面试基础试题及答案
软件开发项目的名字
中文期刊论文数据库检索步骤
网络安全小快板串词
sr650服务器u盘安装
