WEB安全:Tomcat-Ajp协议漏洞分析
一、漏洞描述
Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。
Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。
二、漏洞危害等级
高
三、影响版本
该文件包含漏洞影响以下版本:
7.*分支7.0.100之前版本,建议更新到7.0.100版本;
8.*分支8.5.51之前版本,建议更新到8.5.51版本;
9.*分支9.0.31之前版本,建议更新到9.0.31版本。
四、漏洞原理
tomcat默认的conf/server.xml中配置了2个Connector,一个为8080的对外提供的HTTP协议端口,另外一个就是默认的8009 AJP协议端口,两个端口默认均监听在外网ip。
如下图:
tomcat在接
WEB安全:Tomcat-Ajp协议漏洞分析相关推荐
- [CNVD-2020-10487/CVE-2020-1938]: Tomcat AJP协议漏洞
环境搭建 下载存在漏洞版本8.5.50: https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.50/bin/apache-tomcat-8.5.5 ...
- tomcat源码分析_CVE-2020-9484 tomcat session反序列化漏洞分析
作者:N1gh5合天智汇 title: CVE-2020-9484 tomcat session反序列化漏洞分析 tags: CVE,Tomcat,反序列化 grammar_cjkRuby: true ...
- tomcat ajp协议安全限制绕过漏洞_国家信息安全漏洞共享平台发布Apache Tomcat漏洞安全公告...
2月22日消息 国家信息安全漏洞共享平台(CNVD)近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安全公告,具体如下: 安全公告编号:CNTA-2020-0004 2020 年 1 ...
- tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞(CVE20201938)复现
一.漏洞背景2020年02月20日,国家信息安全漏洞共享平台(CNVD)发布了关于Apache Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487)的安全公告.Tom ...
- tomcat ajp协议安全限制绕过漏洞_Apache tomcat 文件包含漏洞复现(CVE20201938)
漏洞背景 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer ...
- springboot需要tomcat服务器吗_嵌入式 Tomcat AJP 协议对 SpringBoot 应用的影响
前言 2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞.Tomcat AJP 协议由于存在实现缺陷导 ...
- Tomcat AJP安全漏洞
关于Apache Tomcat存在文件包含漏洞 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2 ...
- Tomcat Ajp(CVE-2020-1938) 漏洞复现与修复
前言 2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938).该漏洞是由于Tomcat AJP协议存 ...
- whatsapp逆向协议--漏洞分析
whatsapp逆向协议--漏洞分析Nangua120831 任何一个软件都不可能无懈可击,只要你用心去研究. WhatsApp也一样存在漏洞,whatsapp中的漏洞,可以利用其来发送私聊和群聊,还 ...
最新文章
- 【PL/SQL】--导出oracle单表数据--drp204
- Linux 技巧:让进程在后台可靠运行的几种方法(转)
- 深入浅出理解神经网络召回模型的优势
- mysql ERROR 1045 (28000): 错误解决办法
- python雷达图怎么做_PYTHON绘制雷达图代码实例
- 《2021年度中国开发者有奖大调查》首批中奖名单火热出炉,下一个会是你吗?
- 设计模式—抽象工厂模式(思维导图)
- VSeWSS更新文档
- 嵌入式c学习第一步:dev cpp编译器安装
- 一款免费好用的英文润色软件(1Checker没错,这是免费的)
- 笔记本安装PCMCIA并口卡
- 美团校园招聘笔试例题一---C语言
- 去掉Xcelsius报表在EP展示空白边界
- python绘画海贼王_Python爬虫实战之(三)| 一个海贼迷的呐喊
- switch基本用法
- 使用python在已存在的excel数据表中的特定位置写入数据
- 切片法分割树冠与树干
- PRO-seq数据分析
- Oracle亿级数据查询处理(数据库分表、分区实战)
- Go语言核心36讲笔记——程序实体那些事
热门文章
- MT4单线MACD指标的能量柱颜色的优化
- GVoice腾讯游戏语音Android Studio端接入方法
- ros2与turtlebot3仿真教程-turtlebot3导航
- 全网最详细的搭建【青龙面板】+网页登录搭建教程,实现京东代挂教程
- echarts隐藏掉一条曲线,并且tooltip提示框中不显示
- 怎么把计算机原有用户数据删除,电脑怎么清除数据
- Floyd 弗洛伊德算法的实现
- Golang基础笔记
- 【锐捷交换机】路由器/交换机连接及问题排查
- 13-14. @InjectMocks、@Captor、ArgumentCaptor、captor.capture()、captor.getValue()