- 1Android进阶-Gradle_android implementation strictly
- 2python使用moviepy实现有透明通道视频的叠加_python读取mov透明文件
- 3【if条件、for循环、数据框连接、表达矩阵画箱线图】
- 4常见面试题-Mybatis | Mybatis的优缺点_以下不属于mybatis优点数据库兼容性高
- 5CentOS7源码包安装apache_apache的centos包
- 6GitHub Desktop安装与使用教程
- 7CFS三层靶机渗透记录_网络安全比赛的cfs靶场赛怎么玩
- 8感觉stm32太简单是一种错觉吗?_stm32语音识别和人脸识别那个更简单
- 9conda报错ImportError: DLL load failed while importing shell: The specified procedure could not be foun_could not load conda plugin `conda-libmamba-solver
- 10『初阶数据结构 • C语言』④ - 冒泡排序_冒泡排序c语言数据结构
tomcat安全加固手册_tomcat中间件安全加固实验实验手册
赞
踩
项目场景:
tomcat 渗透测试
问题描述:
根据 tomcat安全加固手册 改渗透所会涉及安全问题。
下载tomca的最新版本
tomcat版本与jdk版本对应
隐藏tomcat版本号
修改tomca目录
/lib/catalina.jar解压的文件下的:\org\apache\catalina\util\ServerInfo.properties文件修改后替换该文件
server.info=Apache Tomcat
server.number=1
server.built=Jan 28 2021 09:12:57 UTC
删除webapps文件夹下的示例程序及文档
项目打war包后方webapps文件夹里其他文件删除掉
tomcat版本泄露:
Apache-Coyote/1.1自定义
apache-tomcat-7.0.108\conf\server.xml 修改:
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000" server="server"
redirectPort="8443" URIEncoding="UTF-8" maxPostSize="-1" maxHttpHeaderSize ="1024000"/>
禁止登录
注释掉/conf/tomcat-users.xml中的用户信息:
<!--
<role rolename="tomcat"/>
<role rolename="role1"/>
<user username="tomcat" password="<must-be-changed>" roles="tomcat"/>
<user username="both" password="<must-be-changed>" roles="tomcat,role1"/>
<user username="role1" password="<must-be-changed>" roles="role1"/>
-->
自定义SHUTDOWN 字符串
修改conf/server.xml中shutdown值为自定义复杂字符串:
<Server port="8005" shutdown="SBSBSBSBSBUSB">
开启日志审核
取消日志配置注释:
禁止列出目录
修改conf/web.xml的listings为false
