Tomcat 是一款開源的 Web 應用服務器軟件。Tomcat 屬於輕量級應用服務器,在中小型系統和並發訪問用戶不多的場合下被普遍使用,是開發和調試 JSP 程序的首選。
漏洞描述
Tomcat 在使用時一般直接下載源代碼包,解壓后直接使用。默認情況下,Tomcat 源碼包 Web 根目錄下包含 servlets-examples 和 tomcat-docs 目錄,這些目錄下的某些樣例存在安全風險。
例如,session 樣例(/examples/servlets/servlet/SessionExample)允許用戶對 session 進行操縱,可被黑客利用來繞過網站驗證機制直接登錄后台。
受影響范圍
所有版本的 Tomcat
修復方案
由於一般情況下,無需使用樣例功能,建議您在部署完 Tomcat 后直接刪除 servlets-examples 和 tomcat-docs 目錄。
注意:在修改前請做好備份,或建立硬盤快照。
如果對您有幫助,請隨便打賞一下作為鼓勵!!!非常感謝您!!!
