赞
踩
使用tomcat部署应用后,如果应用返回报错没有返回一个错误页面,会使用tomcat自定义的报错页面,这个页面有tomat版本号。可以根据这个版本号获取已经暴露出的漏洞,如ajp漏洞。可以根据版本号进行攻击,获取到tomcat应用webapps部署应用的文件夹下所有信息。所以需要隐藏版本号,并最好把已经暴露的漏洞修复。
这里需要修改一个文件,把版本号删除
tomcat根目录下有lib文件夹,此文件夹下保存了tomcat使用的一些jar包,找到catalina.jar
解压进入org/apache/catalina/util,编辑配置文件ServerInfo.properties
里面有两个参数
server.info=Apache Tomcat
server.number=8.5.8.0
把server.num后面信息删除即可,之后报错只能显示Apache Tomcat,获取不到版本号了
参考:https://www.freebuf.com/column/227973.html
ajp漏洞(AJP请求注入和潜在的远程代码执行 )影响版本
tomcat7: < 7.0.100
tomcat8: < 8.5.51
tomcat9: < 9.0.31
必须将 requiredSecret更改为一个安全性高、无法被轻易猜解的值(自行填写)
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" requiredSecret="YOUR_TOMCAT_AJP_SECRET">
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。