AI 助理
备案控制台
开发者社区 安全 文章 正文

Tomcat Servlet Examples threats

2014-04-30 1110
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Tomcat application server by default contains "/examples" directory which has many example servlets and JSPs.
Tomcat application server by default contains "/examples" directory which has many example servlets and JSPs.
We strongly recommend to disable public access to this directory by following security reasons:

  • Bypassing HttpOnly Cookies protection
  • CSRF cookies manipulation
  • Session manipulation
HttpOnly flag must protect user's cookies from client-side attacks such as XSS. There are two example servlets in Tomcat which shows all cookies in plain/text HTTP response:
  • /examples/servlets/servlet/RequestHeaderExample
  • /examples/servlets/servlet/CookieExample

Second servlet also provides CSRF-based cookie manipulations: set/redefine by GET and POST requests both.

Session manipulation is more interesting. Looks at  /examples/servlets/servlet/SessionExample  servlet. It is simplest way to gain admin privileges in target webapps which hosted on same Tomcat with SessionExample servlet.

Session is global and this servlet provides you any manipulations with your session!

文章标签:
应用服务中间件
安全
关键词:
Servlet tomcat
Tomcat Servlet
cnbird
目录
相关文章
蓝易云
|
6月前
|
Java 应用服务中间件 API
Servlet开发流程 (里面有Idea项目添加Tomcat依赖详细教程)
本文详细介绍了Servlet的开发流程,包括在IntelliJ IDEA中添加Tomcat依赖的详细教程。通过上述步骤,开发者可以快速搭建并运行一个基本的Servlet应用,理解并掌握Servlet的开发流程对于Java Web开发至关重要。希望本文能够帮助开发者顺利进行Servlet开发,提高工作效率。
蓝易云
490 78
好奇的菜鸟
|
Java 应用服务中间件 Maven
IDEA创建一个Servlet项目(tomcat10)
IDEA创建一个Servlet项目(tomcat10)
好奇的菜鸟
752 1
程序员小海绵
|
12月前
|
Java 应用服务中间件 Maven
JavaWeb基础5——HTTP,Tomcat&Servlet
JavaWeb技术栈、HTTP、get和post区别、响应状态码、请求响应格数据式、IDEA使用Tomcat、报错解决、Servlet的体系结构、IDEA使用模板创建Servlet
程序员小海绵
744 0
JavaWeb基础5——HTTP,Tomcat&Servlet
凌寒ᨐ舞
|
Java 应用服务中间件 Maven
Tomcat&Servlet(2)
Tomcat&Servlet
凌寒ᨐ舞
112 0
凌寒ᨐ舞
|
前端开发 应用服务中间件
Tomcat&Servlet(4)
Tomcat&Servlet
凌寒ᨐ舞
73 0
Tomcat&Servlet(4)
不摸鱼的程序员
|
JSON Java 应用服务中间件
Tomcat & Servlet
Tomcat & Servlet
不摸鱼的程序员
90 2
凌寒ᨐ舞
|
XML 数据格式
Tomcat&Servlet(5)
Tomcat&Servlet
凌寒ᨐ舞
91 0
凌寒ᨐ舞
|
XML Java 应用服务中间件
Tomcat&Servlet(3)
Tomcat&Servlet
凌寒ᨐ舞
80 0
凌寒ᨐ舞
|
前端开发 Java 应用服务中间件
Tomcat&Servlet(1)
Tomcat&Servlet
凌寒ᨐ舞
96 0
翔宇1
|
XML 前端开发 Java
Tomcat和Servlet
Tomcat和Servlet
翔宇1
93 0

热门文章

最新文章

  • 1
    结合Jenkins与Tomcat,实施Maven项目的自动构建和部署流程。
  • 2
    JavaEE Servlet 并发问题
  • 3
    实战-JavaWweb的Servlet和Filter运行关系(四)
  • 4
    Java EE WEB工程师培训-JDBC+Servlet+JSP整合开发之16.Cookie
  • 5
    Servlet的三个基本方法
  • 6
    JavaWev初识 Servlet生命周期
  • 7
    重温Servlet学习笔记--Cookie对象
  • 8
    《Servlet和JSP学习指南》一1.8 GenericServlet
  • 9
    Eclipse中出现javax.servlet.ServletException: javax.servlet.jsp.JspTagException: ...500问题
  • 10
    Servlet-监听器(ServletContext、Request、Session)
  • 1
    Tomcat多实例及nginx反向代理tomcat
    244
  • 2
    一次Tomcat返回404的分析
    221
  • 3
    tomcat7 与 tomcat8 加载 jar包的顺序
    420
  • 4
    Tomcat 与 JVM 中classpath的理解和设置总结
    443
  • 5
    入职必会-开发环境搭建42-Linux软件安装-安装Tomcat
    132
  • 6
    开发与运维机制问题之在Tomcat的类加载机制中,如果BootstrapClassLoader没有加载成功类,Tomca如何解决
    120
  • 7
    开发与运维机制问题之Tomcat要打破双亲委派机制如何解决
    172
  • 8
    入职必会-开发环境搭建23-IDEA配置Tomcat
    230
  • 9
    使用JMX监控Tomcat
    205
  • 10
    如何使用Dockerfile构建Tomcat镜像并部署war
    344

    • 相关课程

    更多
  • Tomcat服务器入门详解
  • Java Web开发-Web应用、Tomcat、HTTP请求与响应
  • Servlet完全自学手册图文教程
  • Servlet入门

    • 相关电子书

    更多
  • Apache Tomcat 的云原生演进
  • 低代码开发师(初级)实战教程
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云 EMR Serverless Spark 版开启免费公测