如何修复Tomcat 9上的目录遍历漏洞

文章/答案/技术大牛

发布

2回答

apache、tomcat、httpd.conf、directory-traversal

我在Tomcat9容器(Debian10.8)上有一个JEE服务。在它前面是Apache Web Server + mod_proxy_ajp。在我的VH中，我没有任何用于/ Manager /html上下文的ProxyPass规则，但是如果在Web客户端上我重写了我的URL，添加了/..;/manager/html)，Tomcat Manager就会要求提供可信度。有什么窍门可以避免它吗？也许使用modsecurity？谢谢。

浏览 146提问于2021-08-24得票数 1

1回答

目录遍历漏洞apache2

apache、security、url-rewriting

配置apache以避免linux上的目录遍历漏洞，如下所示 RewriteEngine on无法修复。帮我弄错的地方。

浏览 0提问于2018-02-08得票数 0

1回答

防止Linux应用程序中的基本目录遍历攻击

network、linux、attacks、attack-prevention、raspberry-pi

我有一个Raspberry Pi连接到我的网络，并不断从我的安全软件收到这个漏洞警告。我关闭了Pi上的apache2 web服务器，它修复了我的端口80问题，但不知道如何修复其余的端口问题(下面是8080和8443 )。我需要在不删除SSH访问的情况下修复这些漏洞。这很容易通过调整文件的权限来解决，还是我需要做其他的事情？如果这

浏览 0提问于2019-08-21得票数 0

回答已采纳

2回答

挖掘和纠正路径遍历漏洞

security、jsp、tomcat、path、traversal

我有一个运行在Tomcat上的Java应用程序，我应该在上面利用路径遍历漏洞。有一个部分(在应用程序中)，我可以上传一个.zip文件，在服务器的/tmp目录中提取该文件。.zip文件的内容没有被检查，所以基本上我可以在其中放任何东西。我试着把一个.jsp文件放进去，它提取得很好。我的问题是，我不知道如何通过浏览器作为“正常”用户访问这个文件。/tmp/somepage.

浏览 5提问于2013-10-21得票数 2

回答已采纳

1回答

是什么使Android应用程序易受目录遍历的影响？

exploit、mobile、android、java、directory-traversal

目录遍历目录遍历是HTTP攻击的一种形式，黑客使用Web服务器上的软件访问服务器根目录以外的目录中的数据。如果尝试成功，黑客可以查看受限文件，甚至可以在服务器上执行命令。目录遍历如何影响AndroidO.S Android中的目录遍历，允许攻击者在用户应用程序

浏览 0提问于2015-05-22得票数 1

1回答

Apache由于Apache JServ协议(Apache JServ Protocol )连接中的更高权限而易受信息泄露的影响。

spring-boot、tomcat

我最近加入了一个项目，这项工作是关于Spring应用程序的。应用程序已经到位，我发现它们有一些工具(类似于SONARQube)在部署期间运行来评估安全问题。我在Apache tomcat上发现了一组问题，其描述如下：我们使用的我的努力就像在下面一样我发现AJP在Tomcat版本中有更多的<

浏览 0提问于2020-04-09得票数 0

1回答

测试目录遍历漏洞之前的示例.apk文件

ruby

我希望获得一个用于测试目录遍历漏洞的.apk文件。我们已经升级了rubyzip创业板来解决这个问题。我希望找到用于测试修复程序的示例.apk文件。

浏览 0提问于2018-05-11得票数 1

回答已采纳

4回答

如何在tomcat中禁用SSLv3？

security、ssl、tomcat7

请为Tomcat提供我如何修补/解决SSLv3 3贵宾犬漏洞(CVE-2014-3566)？的修复。我尝试了下面的链接，但是它没有帮助：tomcat-用户邮寄列表档案

浏览 0提问于2014-10-15得票数 8

1回答

如何处理路径遍历？

javascript、node.js、security、path-traversal

我正在尝试理解如何(以安全的方式)处理路径遍历。例如，应用程序通过JSON中的REST API从客户端接收文件名，在不可访问(外部)目录中查找它，并检索包含该文件的响应： app.get('/', (req, res) => { // some code... }

浏览 28提问于2021-01-31得票数 1

回答已采纳

1回答

tomcat9未正确安装在ubuntu20.04上

tomcat9、ubuntu-20.04

昨天，我在ubuntu20.04上安装了tomcat9，但是当我试图从/usr/share/tomcat9 9下的bin文件夹中启动它时，我得到了以下错误：Using CATALINA_HOME: /usr/share/tomcat7 Using CATA

浏览 4提问于2020-08-11得票数 0

1回答

Apache coyote漏洞修复导致端口使用错误。

java、security、tomcat、coyote

在我的一个java项目中，我使用的是嵌入式tomcat服务器。服务器的创建如下所示我已经将Tomcat服务器配置为使用9001起的端口号，一切正常。问题陈述Tomcat _tomcat</em

浏览 2提问于2022-08-24得票数 1

回答已采纳

1回答

tomcat漏洞的有效利用: JSP上传旁路CVE-2017-12617

security、tomcat、exploit

我有一个tomcat 6.x、7.x和8.x以及JBoss7.2.x作为服务器运行在windows上。我在webapp目录下创建了一个web应用程序。我运行了以下命令行：我得到了一个2) Http 400状态(坏请求)来自tomcat 6.x和 3) Http 400状态来自tomcat 7.x。我原以为运行上述python漏洞将导致<em

浏览 1提问于2017-10-27得票数 1

回答已采纳

1回答

Tc本机-1.dll版本1.1.30能与tomcat* 7.0.29一起工作吗?没有任何问题？*

tomcat、java、tomcat7、heartbleed

为了修复心脏出血漏洞，正在创建tomcat本机库的新版本。此版本是否适用于较早版本的Tomcat 7(如7.0.29 )，或者这可能会导致系统上运行的代码出现问题？是否最好一次更新整个堆栈？

浏览 0提问于2014-04-10得票数 0

回答已采纳

2回答

在WSL上安装tomcat* 9*

java、tomcat、java-8、windows-subsystem-for-linux、tomcat9

在WSL上安装tomcat 9后，系统无法识别它。由于systemctl命令不适用于WSL，所以我使用了以下命令：返回我遵循了两种安装方法这里是我的环境：ubuntu 20.04 (WSL)更新：我在安装了ubuntu20.04的</e

浏览 5提问于2020-08-08得票数 2

回答已采纳

4回答

通过目录遍历攻击Windows

web-application、windows、directory-traversal

我正在练习目录遍历攻击，并在运行易受攻击的HTTP服务器的windows XP计算机中发现了一个漏洞，该服务器容易进行目录遍历。我得到了一份/修复/sam的副本，但是，由于我没有访问系统单元的权限，所以它没有多大用处！我能得到的最多的是系统的

浏览 0提问于2013-10-26得票数 0

回答已采纳

1回答

本地文件包含(LFI)和远程文件包含(RFI)之间有什么区别？

web-application、vulnerability、terminology、file-inclusion

基于前一个问题，目录遍历和文件包含之间的区别如下：用户输入验证不当会导致对服务器资源的读取访问。文件包含示例：http://www.example.com/vuln_page.php?所以，第一个例子就是 目录<

浏览 0提问于2017-12-05得票数 5

回答已采纳

1回答

GlassFish目录泄漏漏洞

security、directory、glassfish

我有一个Glassfish 4.1.1服务器，有一个用MCafee漏洞管理器进行的漏洞扫描，发现服务器在管理服务器(端口4848)上有泄漏漏洞FID 10109 (端口4848)我搜索并且只找到目录横向漏洞的解决方案，有谁解决了这个漏洞？

浏览 8提问于2017-03-15得票数 2

回答已采纳

2回答

更新Tomcat的策略？

tomcat、redhat

有没有什么策略能让Tomcat在很少或根本不被关注的情况下保持最新的状态？我找到了解决问题的一半办法。默认情况下，Tomcat将安装和实例配置混合在一个由CATALINA_HOME标识的目录树中。这使得更新Tomcat而不破坏您的配置变得复杂。要解决这个问题，您可以将特定于实例的文件放在一个单独的目录树中，该目录树由CATALINA_BASE变量标识。将

浏览 4提问于2021-03-27得票数 3

3回答

目录遍历和文件包含的区别

web-application、directory-traversal

目录遍历和文件包含漏洞之间似乎没有明显的区别。and other overflows) File Inclusion 其中，我们可以注意到目录遍历和文件包含，因此它们在某种程度上肯定是不同的。

浏览 0提问于2012-02-17得票数 12

回答已采纳

3回答

在ubuntu12.04LTS上将Apache升级到2.2.23

apache2

我们使用Apache2.2.22在运行Ubuntu12.04LTS的服务器上进行了PCI扫描。扫描报告在Apache2.2.22( LD_LIBRARY_PATH漏洞中的apache长度目录名称)中报告了一个漏洞，.The报告状态是将版本升级到最新的稳定版本2.2.23或2.2.24。如何升级到2.2.23以修复该漏洞，或者是否有可用的修补程序可以修复此漏洞，如果可以，请告诉我<e

浏览 0提问于2012-11-06得票数 4

点击加载更多