apachetomcat目录session应用信息漏洞

apachetomcat⽬录session应⽤信息漏洞
Tomcat 是⼀款开源的 Web 应⽤服务器软件。

Tomcat 属于轻量级应⽤服务器，在中⼩型系统和并发访问⽤户不多的场合下被普遍使⽤，是开发和调试 JSP 程序的⾸选。

漏洞描述
apache Tomcat默认安装包含“/examples”⽬录，⾥⾯存着很多的样例，其中session样例（/ examples/servlets/servlet/SessionExample）允许⽤户对session进⾏操作。

因为session是全局通⽤的，所以⽤户可以通过操作session获取管理员的权限,这些⽬录下的某些样例存在安全风险。

利⽤⽅式
通过表单提交dataname和datavalue参数，再通过request.getParameter()函数获取这两个函数值，再通过session.setAttribute()函数将dataname和datavalue的值写⼊session，通过操作session参数值来获取⽹站管理权限。

漏洞截图
整改建议
1、禁⽌访问或者直接删除examples和docs样例⽬录下的默认资源。

2、做⽬录访问权限设置，防⽌⽬录遍历。