这篇文章将为大家详细讲解有关怎么让Tomcat更强壮,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,是开发和调试JSP 程序的首选,其深受开发人员追捧,在web安全测试中经常遇到tomcat的站点,此处通过结合tomcat几个常见配置漏洞,说说其加固建议,来打造一个更强壮的tomcat。
NO 1 不安全的http请求方法
1 漏洞描述
系统支持多种http请求方法,如图一
图一
2 加固方案
1) 针对此问题,修改tomcat 的web.xml文件,在web.xml文件中增加如下内容:
2) 修改后重启下tomcat服务,web.xml修改后的具体内容如下图一:
图一
3) 修改后,再次查看options请求方法,提示403,具体报错信息如图二
图二
NO 2 慢速dos攻击
1 漏洞描述
慢速dos攻击漏洞是让服务器等待,当服务器在保持连接等待时,恶意消耗服务器资源。
2 加固建议
修改server.xml文件,connectiontimeout默认是20000ms,此处修改为5000ms,可有效缓解该问 题,(该参数是指当建立链接后,如果既收不到客户端的fin也没有数据,此连接等待20s后会被超时释放)当在尝试用slowhttptest进行攻击测试时,提示如下
NO 3 目录文件列出漏洞
1 漏洞描述
Tomcat 8.0是自动屏蔽目录文件列出的,当web.xml中为<param-value>true</param-value>时,允许文件列出,如图一
图一
2 加固建议
当<param-value>false</param-value>,可避免目录文件列出,如图二
图二
NO 4 敏感信息泄漏之默认管理路径
1 漏洞描述
Tomcat存在默认的管理路径,存在被恶意攻击者爆破的风险。
2 加固建议
首先修改tomcat默认8080端口,修改web.xml,修改默认端口为9999,如图一
图一
重启tomcat服务即可,如图二
图二
NO 5 敏感信息泄漏之未定义错误页面
1 漏洞描述
系统报错时,错误信息会泄露出部分敏感信息,进行子定义错误页面,减少敏感信息泄露,如图一
图一
2 加固建议
修改web.xml文件,加入如下错误页面提示,如图一
图一
在webapps/ROOT目录下新建error.html,内容为自定义的错误页面,当tomcat再次报错时,显示自定义的错误信息,如图二
图二
NO 6 敏感信息泄漏之版本号泄漏
1 漏洞描述
在测试系统会发现,系统报错页面,会泄露tomcat版本信息,如下图一
图一
2 加固建议
进入tomcat/lib目录,查找catalina.jar,可以利用winrar文件打开,进/org/apache/catalina/util目录,编辑ServerInfo.properties文件,如图一
图一
修改最后三行内容,此处修改为如下内容,如图二
图二
修改完后,保存内容,更新jar包,重启tomcat服务,当系统在报错时,提示信息如图三,隐藏了Tomcat版本信息
图三
NO 7 War 包自动部署
1 项目描述
为了增加tomcat安全性,建议关闭war包自动部署功能,防止被攻击者上传恶意脚本。
2 配置方案
修改conf/server.xml文件,unpackWARs、unpackWARs默认为true,此处修改为false,如图一
图一
最后开启tomcat日志,可以随时监测用户访问情况,当系统出现安全问题时,可方便进行溯源。修改conf下的server.xml文件,默认日志文件是放在logs下,directory : 修改默认存储位置,prefix :修改日志名前缀,suffix : 日志名后缀,pattern : 日志需要保存的具体内容。可根据实际情况自行调整日志格式。
关于“怎么让Tomcat更强壮”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。
原创文章,作者:kirin,如若转载,请注明出处:https://blog.ytso.com/tech/safety/222676.html