一、漏洞描述

Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。

Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。

二、漏洞危害等级

三、影响版本

该文件包含漏洞影响以下版本:

  • 7.*分支7.0.100之前版本,建议更新到7.0.100版本;

  • 8.*分支8.5.51之前版本,建议更新到8.5.51版本;

  • 9.*分支9.0.31之前版本,建议更新到9.0.31版本。

四、漏洞原理

tomcat默认的conf/server.xml中配置了2个Connector,一个为8080的对外提供的HTTP协议端口,另外一个就是默认的8009 AJP协议端口,两个端口默认均监听在外网ip。

如下图:

tomcat在接

WEB安全:Tomcat-Ajp协议漏洞分析相关推荐

  1. [CNVD-2020-10487/CVE-2020-1938]: Tomcat AJP协议漏洞

    环境搭建 下载存在漏洞版本8.5.50: https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.50/bin/apache-tomcat-8.5.5 ...

  2. tomcat源码分析_CVE-2020-9484 tomcat session反序列化漏洞分析

    作者:N1gh5合天智汇 title: CVE-2020-9484 tomcat session反序列化漏洞分析 tags: CVE,Tomcat,反序列化 grammar_cjkRuby: true ...

  3. tomcat ajp协议安全限制绕过漏洞_国家信息安全漏洞共享平台发布Apache Tomcat漏洞安全公告...

    2月22日消息 国家信息安全漏洞共享平台(CNVD)近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安全公告,具体如下: 安全公告编号:CNTA-2020-0004 2020 年 1 ...

  4. tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞(CVE20201938)复现

    一.漏洞背景2020年02月20日,国家信息安全漏洞共享平台(CNVD)发布了关于Apache Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487)的安全公告.Tom ...

  5. tomcat ajp协议安全限制绕过漏洞_Apache tomcat 文件包含漏洞复现(CVE20201938)

    漏洞背景 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer ...

  6. springboot需要tomcat服务器吗_嵌入式 Tomcat AJP 协议对 SpringBoot 应用的影响

    前言 2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞.Tomcat AJP 协议由于存在实现缺陷导 ...

  7. Tomcat AJP安全漏洞

    关于Apache Tomcat存在文件包含漏洞   2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2 ...

  8. Tomcat Ajp(CVE-2020-1938) 漏洞复现与修复

    前言 2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938).该漏洞是由于Tomcat AJP协议存 ...

  9. whatsapp逆向协议--漏洞分析

    whatsapp逆向协议--漏洞分析Nangua120831 任何一个软件都不可能无懈可击,只要你用心去研究. WhatsApp也一样存在漏洞,whatsapp中的漏洞,可以利用其来发送私聊和群聊,还 ...

最新文章

  1. 【PL/SQL】--导出oracle单表数据--drp204
  2. Linux 技巧:让进程在后台可靠运行的几种方法(转)
  3. 深入浅出理解神经网络召回模型的优势
  4. mysql ERROR 1045 (28000): 错误解决办法
  5. python雷达图怎么做_PYTHON绘制雷达图代码实例
  6. 《2021年度中国开发者有奖大调查》首批中奖名单火热出炉,下一个会是你吗?
  7. 设计模式—抽象工厂模式(思维导图)
  8. VSeWSS更新文档
  9. 嵌入式c学习第一步:dev cpp编译器安装
  10. 一款免费好用的英文润色软件(1Checker没错,这是免费的)
  11. 笔记本安装PCMCIA并口卡
  12. 美团校园招聘笔试例题一---C语言
  13. 去掉Xcelsius报表在EP展示空白边界
  14. python绘画海贼王_Python爬虫实战之(三)| 一个海贼迷的呐喊
  15. switch基本用法
  16. 使用python在已存在的excel数据表中的特定位置写入数据
  17. 切片法分割树冠与树干
  18. PRO-seq数据分析
  19. Oracle亿级数据查询处理(数据库分表、分区实战)
  20. Go语言核心36讲笔记——程序实体那些事

热门文章

  1. MT4单线MACD指标的能量柱颜色的优化
  2. GVoice腾讯游戏语音Android Studio端接入方法
  3. ros2与turtlebot3仿真教程-turtlebot3导航
  4. 全网最详细的搭建【青龙面板】+网页登录搭建教程,实现京东代挂教程
  5. echarts隐藏掉一条曲线,并且tooltip提示框中不显示
  6. 怎么把计算机原有用户数据删除,电脑怎么清除数据
  7. Floyd 弗洛伊德算法的实现
  8. Golang基础笔记
  9. 【锐捷交换机】路由器/交换机连接及问题排查
  10. 13-14. @InjectMocks、@Captor、ArgumentCaptor、captor.capture()、captor.getValue()