当前位置: 首页 > news >正文 二级学院网站建设报告汕头刚刚发生的事 news 2025/11/5 0:51:33 二级学院网站建设报告,汕头刚刚发生的事,平面设计师招聘网,用php如何建设网站Apache Tomcat httpoxy 安全漏洞 CVE-2016-5388 已亲自复现 漏洞名称漏洞描述影响版本 漏洞复现环境搭建漏洞利用 修复建议总结 漏洞名称 漏洞描述 在Apache Tomcat中发现了一个被归类为关键的漏洞#xff0c;该漏洞在8.5.4(Application Server Soft ware)以下。受影响的是组… Apache Tomcat httpoxy 安全漏洞 CVE-2016-5388 已亲自复现 漏洞名称漏洞描述影响版本 漏洞复现环境搭建漏洞利用 修复建议总结 漏洞名称 漏洞描述 在Apache Tomcat中发现了一个被归类为关键的漏洞该漏洞在8.5.4(Application Server Soft ware)以下。受影响的是组件CGI Servlet的未知函数。Apache Tomcat 8.5.4版本启用CGI Servlet时RFC 3875 section 4.1.18存在命名空间冲突HTTP_PROXY环境变量未能过滤构造的客户端数据。远程攻击者构造HTTP请求的Proxy可将应用的HTTP数据流重定向到任意代理服务器。 影响版本 8.0 Apache Tomcat 8.5.4 Redhat Enterprise_Linux_Server 6.0 6.0 Apache Tomcat 6.0.45 Oracle Linux 6 Redhat Enterprise_Linux_Hpc_Node_Eus 7.2 Redhat Enterprise_Linux_Hpc_Node 6.0 Redhat Enterprise_Linux_Workstation 6.0 HP System_Management_Homepage 7.5.5.0 7.0 Apache Tomcat 7.0.70 Redhat Enterprise_Linux_Hpc_Node 7.0 Redhat Enterprise_Linux_Server 7.0 Redhat Enterprise_Linux_Server_Aus 7.2 Redhat Enterprise_Linux_Server_Tus 7.2 Redhat Enterprise_Linux_Desktop 6.0 Redhat Enterprise_Linux_Server_Eus 7.2 Redhat Enterprise_Linux_Desktop 7.0 Redhat Enterprise_Linux_Workstation 7.0 Oracle Linux 7 漏洞复现 环境搭建 受害者IP192.168.63.129:8999 攻击者IP192.168.63.1 环境下载地址这里下载8.5.3版本。 https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.3/bin/启动tomcat ./startup.bat环境启动后访问http://192.168.63.129:8999即可看到一个tomcat页面说明已成功启动。 Tomcat配置CGI修改web.xmlconf/web.xml配置文件中默认注释了CGIServlet只需要打开注释即可。 cgiPathPrefix部属应用中cgi脚本的位置。tomcat会在所有应用的该目录啥寻找。 executableCGI脚本的执行程序。 passShellEnvironmentshell的环境变量。 servletservlet-namecgi/servlet-nameservlet-classorg.apache.catalina.servlets.CGIServlet/servlet-classinit-paramparam-namedebug/param-nameparam-value0/param-value/init-paraminit-paramparam-namecgiPathPrefix/param-nameparam-valueWEB-INF/cgi/param-value/init-paraminit-paramparam-nameexecutable/param-name#指定python路径param-valueC:/Users/Administrator/AppData/Local/Programs/Python/Python312/python.exe/param-value/init-paramload-on-startup5/load-on-startup/servletservlet-mappingservlet-namecgi/servlet-nameurl-pattern/cgi-bin/*/url-pattern/servlet-mapping修改context.xml Context privilegedtrue将python脚本部署在web应用创建demopy,将其放在web应用test工程,“WEB-INF/cgi”目录下。 #!/usr/bin/python# CGI demo from os import * from cgi import *print(content-type: text/html) print()print(html) print(headWelcome Tomcat CGI/head) print(body) print(h1Hello/h1)print(Hello) print(h1Welcome to the output of a CGI under Tomcat/h1) print(pThe subject says all./p) print(/body) print(/html)重启tomcat访问http://192.168.63.129:8999,成功访问。 漏洞利用 复现明天继续今天有点累了 修复建议 1.获取最新版本 https://github.com/apache/tomcat/tags 总结 攻击者构造HTTP请求的Proxy字段为True表示启用了代理。这意味着所有的网络请求将会通过一个中间代理服务器转发而不是直接连接到目标服务器。但是通常情况下仅设置proxy: true是不够的还需要提供代理服务器的详细信息如IP地址和端口号。如果攻击成功在响应头中返回的状态码为200且与提供代理服务器存在流量交互。然而在响应头中返回状态码为200因未提供代理服务器的IP和端口有可能是攻击者的探测漏洞行为无法判断是否攻击还需要结合网络日志和流量日志进行关联分析。 文章转载自: http://www.morning.zybdj.cn.gov.cn.zybdj.cn http://www.morning.gqryh.cn.gov.cn.gqryh.cn http://www.morning.nbnq.cn.gov.cn.nbnq.cn http://www.morning.dfqmy.cn.gov.cn.dfqmy.cn http://www.morning.ywrt.cn.gov.cn.ywrt.cn http://www.morning.sqfrg.cn.gov.cn.sqfrg.cn http://www.morning.mdmxf.cn.gov.cn.mdmxf.cn http://www.morning.xzlp.cn.gov.cn.xzlp.cn http://www.morning.gllgf.cn.gov.cn.gllgf.cn http://www.morning.nxfuke.com.gov.cn.nxfuke.com http://www.morning.zdxss.cn.gov.cn.zdxss.cn http://www.morning.gzzncl.cn.gov.cn.gzzncl.cn http://www.morning.gwmny.cn.gov.cn.gwmny.cn http://www.morning.tmfm.cn.gov.cn.tmfm.cn http://www.morning.prysb.cn.gov.cn.prysb.cn http://www.morning.pkggl.cn.gov.cn.pkggl.cn http://www.morning.xbzfz.cn.gov.cn.xbzfz.cn http://www.morning.lfqtp.cn.gov.cn.lfqtp.cn http://www.morning.zpxwg.cn.gov.cn.zpxwg.cn http://www.morning.mprtj.cn.gov.cn.mprtj.cn http://www.morning.qkgwx.cn.gov.cn.qkgwx.cn http://www.morning.htfnz.cn.gov.cn.htfnz.cn http://www.morning.linzhigongmao.cn.gov.cn.linzhigongmao.cn http://www.morning.pbzlh.cn.gov.cn.pbzlh.cn http://www.morning.xgjhy.cn.gov.cn.xgjhy.cn http://www.morning.sbrjj.cn.gov.cn.sbrjj.cn http://www.morning.rykmf.cn.gov.cn.rykmf.cn http://www.morning.zqdhr.cn.gov.cn.zqdhr.cn http://www.morning.rmjxp.cn.gov.cn.rmjxp.cn http://www.morning.clpdm.cn.gov.cn.clpdm.cn http://www.morning.xpzrx.cn.gov.cn.xpzrx.cn http://www.morning.rxcqt.cn.gov.cn.rxcqt.cn http://www.morning.frfnb.cn.gov.cn.frfnb.cn http://www.morning.tgczj.cn.gov.cn.tgczj.cn http://www.morning.wnqbf.cn.gov.cn.wnqbf.cn http://www.morning.ssrjt.cn.gov.cn.ssrjt.cn http://www.morning.ydhck.cn.gov.cn.ydhck.cn http://www.morning.rksnk.cn.gov.cn.rksnk.cn http://www.morning.webpapua.com.gov.cn.webpapua.com http://www.morning.rtbhz.cn.gov.cn.rtbhz.cn http://www.morning.tlfzp.cn.gov.cn.tlfzp.cn http://www.morning.qyhcg.cn.gov.cn.qyhcg.cn http://www.morning.tbzcl.cn.gov.cn.tbzcl.cn http://www.morning.ppwdh.cn.gov.cn.ppwdh.cn http://www.morning.tcpnp.cn.gov.cn.tcpnp.cn http://www.morning.ktmpw.cn.gov.cn.ktmpw.cn http://www.morning.qzfjl.cn.gov.cn.qzfjl.cn http://www.morning.gqddl.cn.gov.cn.gqddl.cn http://www.morning.jfqqs.cn.gov.cn.jfqqs.cn http://www.morning.ymtbr.cn.gov.cn.ymtbr.cn http://www.morning.mhybs.cn.gov.cn.mhybs.cn http://www.morning.ctlzf.cn.gov.cn.ctlzf.cn http://www.morning.flfdm.cn.gov.cn.flfdm.cn http://www.morning.yrctp.cn.gov.cn.yrctp.cn http://www.morning.nrgdc.cn.gov.cn.nrgdc.cn http://www.morning.pdmc.cn.gov.cn.pdmc.cn http://www.morning.lwgrf.cn.gov.cn.lwgrf.cn http://www.morning.hpnhl.cn.gov.cn.hpnhl.cn http://www.morning.glbnc.cn.gov.cn.glbnc.cn http://www.morning.wbns.cn.gov.cn.wbns.cn http://www.morning.swkzk.cn.gov.cn.swkzk.cn http://www.morning.zqkr.cn.gov.cn.zqkr.cn http://www.morning.yhglt.cn.gov.cn.yhglt.cn http://www.morning.pyncm.cn.gov.cn.pyncm.cn http://www.morning.pwmpn.cn.gov.cn.pwmpn.cn http://www.morning.pprxs.cn.gov.cn.pprxs.cn http://www.morning.zxqqx.cn.gov.cn.zxqqx.cn http://www.morning.fnxzk.cn.gov.cn.fnxzk.cn http://www.morning.fbmjw.cn.gov.cn.fbmjw.cn http://www.morning.bkjhx.cn.gov.cn.bkjhx.cn http://www.morning.pwlxy.cn.gov.cn.pwlxy.cn http://www.morning.cyjjp.cn.gov.cn.cyjjp.cn http://www.morning.lbpfl.cn.gov.cn.lbpfl.cn http://www.morning.pkmcr.cn.gov.cn.pkmcr.cn http://www.morning.fqqlq.cn.gov.cn.fqqlq.cn http://www.morning.lpmjr.cn.gov.cn.lpmjr.cn http://www.morning.hxycm.cn.gov.cn.hxycm.cn http://www.morning.xyrw.cn.gov.cn.xyrw.cn http://www.morning.lhhkp.cn.gov.cn.lhhkp.cn http://www.morning.glxmf.cn.gov.cn.glxmf.cn 查看全文 http://www.tj-hxxt.cn/news/278031.html 相关文章: flash网站模板修改wordpress 手机商城模板 网站代码在哪里写网站建设合同.doc 邹平网站建设公司自己想注册公司怎么搞 天津建站模板搭建4399网页版入口 金华网站制作建设台州市城乡建设局网站 网站如何加入流量统计优化大师的作用 教育网站官网网站开发工具c 网站建设 需要注意什么响应式网站开发技术 做网站是不是就能上传东西嘉兴网站备案去哪里 阿玛尼手表官方网站查询正品一键关键词优化 网站建设设计公司类网站织梦模板 带手机端六安商业网站建设费用 做餐饮企业网站的费用有错误的wordpress 网络彩票网站开发电子商务网站建设实训过程 鼠标放到一级导航时才显示网站二级导航 鼠标离开时不显示 怎么控制虚拟主机怎么发布网站吗 莆田市的网站建设公司微信小程序商城怎么弄 手机在线电影网站酒水在什么网站做推广好 广州新站优化手机网站模板大全 网站开发的设计思路做课件挣钱的网站 重庆网站搭建公司无锡知名网站推广 php网站服务器架设城市建设法规考试网站 做视频挣钱的网站网站开发 常德 网络事件营销成功案例兰州网站搜索引擎优化 网络营销的专业网站wordpress dux主题 网站关键词优化推荐贵阳方舟网络6怎么给喜欢的人做网站 嘉兴 做企业网站中国保险行业协会网站 平台和自建网站服务提供者七台河网站建设 网站表单点击切换ui中国设计网 如何上传安装网站模板服装品牌策划及营销推广方案 大学网站建设管理办法信息化网站开发有几种类型 花店网站建设规划书cms建站程序
