Apache-Tomcat-Ajp漏洞(CVE-2020-1938)漏洞复现 和处理

其他 2020-02-22 11:00:59 阅读次数: 0

漏洞具体情况参考:http://blog.nsfocus.net/cve-2020-1938/

复现方法参考:https://github.com/0nise/CVE-2020-1938

需要特别注意的是,之前的tomcat,AJP默认是打开的!!!!

本地复现,版本 Tomcat 7.0.95:

1. server.xml 配置:

 启动tomcat,cmd,执行命令:

可以读取文件。修改server.xml配置:

 在启动tomcat,再次访问测试:

被禁止访问了。说明我们的配置起作用了。

http://blog.nsfocus.net/cve-2020-1938/ 该链接中说TOMCAT 7 使用 

address="127.0.0.1" secret="xxxxx"

应该是不对的。经过测试,Tomcat7  应该是使用:

address="127.0.0.1" requiredSecret="xxxx"

已测试为准!!! 

为保险起见,最好都加上:

address="127.0.0.1" secret="xxxxx" requiredSecret="xxxx"

猜你喜欢

转载自www.cnblogs.com/digdeep/p/12344434.html
今日推荐
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
周排行
[编程题]学英语
[codeforces 1288A] Deadline 约数+模
Python的web开发
Docker在Centos 7上的部署
python编码
解决Ubuntu16.04 fatal error: json/json.h: No such file or directory
mysql并发插入
rest接口如何适应jsonp的方案
linux 终端上网设置
高数——等号两边同时求导、积分的解释
每日归档
更多
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022