二、修补漏洞
1、漏洞根源
笔者通过测试发现,Tomcat漏洞是由于tomcat-users.xml文件引起的。该文件保存了Tomcat后台登录的用户名和密码,并且默认状态下成功的登录者获得的是manager权限即管理员权限。 下面是默认状态下的tomcat-users.xml文件内容,倒数第二行是最关键的。
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="tomcat"/>
<role rolename="role1"/>
<role rolename="manager"/>
<role rolename="admin"/>
<user username="admin" password="admin" roles="admin,manager"/>
</tomcat-users> |
2、漏洞修补
知道了原因,我们的漏洞修补就是对tomcat-users.xml文件进行修改。针对该漏洞我们有两种修改方法,一种是改用户名和密码,一种是修改权限。
1、修改用户名及密码
我们把tomcat-users.xml文件倒数第二行中的改为,即把登录用户改为lw,登录密码改为gslw。最后重新登录后台测试,用默认的用户名和密码admin登录失败见图4,而用新用户名和密码登录成功。(图4)
图4
2、修改权限
我们把tomcat-users.xml文件倒数第二行中的改为,去掉了admin后面的manager,即取消了管理员权限。然后重启tomcat(必须要重启,因为Tomcat重启时会加载配置文件,这样刚才的修改才会生效。)和图4一样登录失败。
总结:本文针对Tomcat服务器漏洞的演示及其修补方法在技术上没有什么难度,但是这些大家不经意的细节往往成为服务器杀手,服务器管理者要提高自己的安全素养。另外,作为服务器管理者要勤于动手,善用分析修补类似本文提及的这样的漏洞。
IT专家网原创文章,未经许可,严禁转载!
第1页:IP扫描
第2页:登录后台
第3页:修补漏洞
查看原文:http://server.ctocio.com.cn/askexperts/258/8210258_2.shtml
