怎么讓Tomcat更強(qiáng)壯

這篇文章將為大家詳細(xì)講解有關(guān)怎么讓Tomcat更強(qiáng)壯，小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，希望大家閱讀完這篇文章后可以有所收獲。

         Tomcat 服務(wù)器是一個(gè)免費(fèi)的開放源代碼的Web 應(yīng)用服務(wù)器，屬于輕量級(jí)應(yīng)用服務(wù)器，是開發(fā)和調(diào)試JSP 程序的首選，其深受開發(fā)人員追捧，在web安全測(cè)試中經(jīng)常遇到tomcat的站點(diǎn)，此處通過結(jié)合tomcat幾個(gè)常見配置漏洞，說說其加固建議，來打造一個(gè)更強(qiáng)壯的tomcat。    

NO 1 不安全的http請(qǐng)求方法

1  漏洞描述 

系統(tǒng)支持多種http請(qǐng)求方法，如圖一

圖一

2  加固方案

1)       針對(duì)此問題，修改tomcat 的web.xml文件，在web.xml文件中增加如下內(nèi)容：

2)       修改后重啟下tomcat服務(wù)，web.xml修改后的具體內(nèi)容如下圖一：

圖一

3)       修改后，再次查看options請(qǐng)求方法，提示403，具體報(bào)錯(cuò)信息如圖二

圖二

NO 2 慢速dos攻擊

  1  漏洞描述 

          慢速dos攻擊漏洞是讓服務(wù)器等待，當(dāng)服務(wù)器在保持連接等待時(shí)，惡意消耗服務(wù)器資源。

  2  加固建議

         修改server.xml文件，connectiontimeout默認(rèn)是20000ms，此處修改為5000ms，可有效緩解該問 題，（該參數(shù)是指當(dāng)建立鏈接后，如果既收不到客戶端的fin也沒有數(shù)據(jù)，此連接等待20s后會(huì)被超時(shí)釋放）當(dāng)在嘗試用slowhttptest進(jìn)行攻擊測(cè)試時(shí)，提示如下

 NO 3 目錄文件列出漏洞

1  漏洞描述 

Tomcat 8.0是自動(dòng)屏蔽目錄文件列出的，當(dāng)web.xml中為<param-value>true</param-value>時(shí)，允許文件列出，如圖一

                                                                                         圖一    

2  加固建議

當(dāng)<param-value>false</param-value>，可避免目錄文件列出，如圖二

圖二

NO 4 敏感信息泄漏之默認(rèn)管理路徑

1  漏洞描述 

                 Tomcat存在默認(rèn)的管理路徑，存在被惡意攻擊者爆破的風(fēng)險(xiǎn)。

2  加固建議

                 首先修改tomcat默認(rèn)8080端口，修改web.xml，修改默認(rèn)端口為9999，如圖一

圖一

                     重啟tomcat服務(wù)即可，如圖二

圖二

NO 5 敏感信息泄漏之未定義錯(cuò)誤頁面    

1  漏洞描述

系統(tǒng)報(bào)錯(cuò)時(shí)，錯(cuò)誤信息會(huì)泄露出部分敏感信息，進(jìn)行子定義錯(cuò)誤頁面，減少敏感信息泄露，如圖一

圖一

2  加固建議  

修改web.xml文件，加入如下錯(cuò)誤頁面提示，如圖一

圖一

在webapps/ROOT目錄下新建error.html,內(nèi)容為自定義的錯(cuò)誤頁面，當(dāng)tomcat再次報(bào)錯(cuò)時(shí)，顯示自定義的錯(cuò)誤信息，如圖二

                                                                                   圖二

NO 6 敏感信息泄漏之版本號(hào)泄漏

1  漏洞描述

在測(cè)試系統(tǒng)會(huì)發(fā)現(xiàn)，系統(tǒng)報(bào)錯(cuò)頁面，會(huì)泄露tomcat版本信息，如下圖一

圖一

2  加固建議

進(jìn)入tomcat/lib目錄，查找catalina.jar，可以利用winrar文件打開，進(jìn)\org\apache\catalina\util目錄，編輯ServerInfo.properties文件，如圖一

圖一

修改最后三行內(nèi)容，此處修改為如下內(nèi)容，如圖二

圖二

修改完后，保存內(nèi)容，更新jar包，重啟tomcat服務(wù)，當(dāng)系統(tǒng)在報(bào)錯(cuò)時(shí)，提示信息如圖三，隱藏了Tomcat版本信息

圖三

NO 7 War 包自動(dòng)部署

1  項(xiàng)目描述

為了增加tomcat安全性，建議關(guān)閉war包自動(dòng)部署功能，防止被攻擊者上傳惡意腳本。

2  配置方案

修改conf/server.xml文件，unpackWARs、unpackWARs默認(rèn)為true，此處修改為false，如圖一

                                                                       圖一        

             最后開啟tomcat日志，可以隨時(shí)監(jiān)測(cè)用戶訪問情況，當(dāng)系統(tǒng)出現(xiàn)安全問題時(shí)，可方便進(jìn)行溯源。修改conf下的server.xml文件，默認(rèn)日志文件是放在logs下，directory ：  修改默認(rèn)存儲(chǔ)位置，prefix  ：修改日志名前綴，suffix ： 日志名后綴，pattern  ： 日志需要保存的具體內(nèi)容?？筛鶕?jù)實(shí)際情況自行調(diào)整日志格式。

關(guān)于“怎么讓Tomcat更強(qiáng)壯”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，使各位可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，請(qǐng)把它分享出去讓更多的人看到。