【漏洞描述】
Tomcat在使用的時候一般都直接官網下載源代碼包直接使用。
默認情況下,Tomcat源碼包里面包含了 examples 這個目錄,這個目錄主要實現一些樣例頁面的訪問。
比如:
默認域名:/examples/servlets/servlet/SessionExample
這個網址可以對session直接進行查詢與修改,繞過認證。可能會被黑客利用繞過網站驗證直接操作服務器。
【漏洞影響】
- 可能泄露敏感信息並被攻擊者利用造成威脅
- 攻擊者可能直接利用樣例的漏洞進行攻擊
- 核心數據可直接偷取
【影響版本】
所有Tomcat版本
【修復方法】
直接移除<tomcat基本目錄>/webapps/examples { 不需要重啟 }