漏洞级别:中危
漏洞类别:session *** 纵漏洞
ApacheTomcat默认安装页面中存在examples样例目录。里面存放着Servlets、JSP、WebSocket的一些服务脚本和接口等样例。Servletsexamples服务样例下存在一个session的样例。该样例可以允许用户对session来进行 *** 控。因为session是全局通用的,所以也就可以利用该样例下的session来 *** 控管理员的session来进行会话传输 *** 控管理员的账户进行恶意 *** 作。
三、验证过程 四、整改建议禁止访问或者直接删除examples样例目录下的资源。做目录访问权限设置,防止目录遍历。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)