Tomcat样例安全漏洞

【漏洞描述】

Tomcat在使用的时候一般都直接官网下载源代码包直接使用。

默认情况下，Tomcat源码包里面包含了   examples   这个目录，这个目录主要实现一些样例页面的访问。

比如：

默认域名:/examples/servlets/servlet/SessionExample

这个网址可以对session直接进行查询与修改，绕过认证。可能会被黑客利用绕过网站验证直接操作服务器。

   

【漏洞影响】

• 可能泄露敏感信息并被攻击者利用造成威胁
• 攻击者可能直接利用样例的漏洞进行攻击
• 核心数据可直接偷取

   

【影响版本】

所有Tomcat版本

   

【修复方法】

直接移除<tomcat基本目录>/webapps/examples     {  不需要重启  }