安全测试-Tomcat样例目录

风险说明:

Apache Tomcat默认安装包含”/examples”目录,其中session样例允许用户对session进行操纵。攻击者可以通过操纵 session获取管理员权限 

漏洞证明:

访问/examples”目录,如果能出来页面,说明有此漏洞http://127.0.0.1:6039/examples/servlets/servlet/SessionExample

修复建议:

删除tomcat examples目录(/examples/servlets/servlet/SessionExample)

删除webapps目录中的docs、examples、host-manager、manager,至少在互联网端需要屏蔽危险的接口地址

相关

标签