记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Tomcat 6 Missing Host Header Internal IP Address Disclosure

2013-01-10 01:40

信息泄漏漏洞会向攻击者泄漏有关系统或 Web 应用程序的敏感信息。尝试在未经授权的情况下进行访问时,攻击者可以使用这些信息了解有关系统的更多信息。

 这是之前在微软的IIS 4.0、5.0、5.1中存在的安全问题,IIS6就已经解决了,我在tomcat中还是首次遇到,已经给tomcat官方的安全负责人员security@apache.org 发了邮件询问,但没得到合适的回复。

漏洞问题:Tomcat 6 缺少主机头的内部IP地址的泄露漏洞

测试版本:Apache Tomcat Version 6.0.35, Nov 28 2011

漏洞发现人:Akast [NEURON]

 下面的 HTTP 请求服务器上存在名为“corp”的目录,检查 HTTP 响应的“Location”标头中发现包含了内部 IP 地址:

GET /corp HTTP/1.0

HTTP/1.1 302 Moved Temporarily

Server: Apache-Coyote/1.1

Location: http://10.0.0.20/corp/

Date: Tue, 03 Jul 2012 05:49:52 GMT

Connection: close

知识来源: akast.blog.com/?p=66

阅读:172769 | 评论:0 | 标签:hack security tomcat vulnerability web

想收藏或者和大家分享这篇好文章→复制链接地址

“Tomcat 6 Missing Host Header Internal IP Address Disclosure”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云