【漏洞描述】
Tomcat在使用的时候一般都直接官网下载源代码包直接使用。
默认情况下,Tomcat源码包里面包含了 examples 这个目录,这个目录主要实现一些样例页面的访问。
比如:
默认域名:/examples/servlets/servlet/SessionExample
这个网址可以对session直接进行查询与修改,绕过认证。可能会被黑客利用绕过网站验证直接操作服务器。
【漏洞影响】
- 可能泄露敏感信息并被攻击者利用造成威胁
- 攻击者可能直接利用样例的漏洞进行攻击
- 核心数据可直接偷取
【影响版本】
所有Tomcat版本
【修复方法】
直接移除<tomcat基本目录>/webapps/examples { 不需要重启 }