本文记录了一个关于Spring Boot内置Tomcat的安全漏洞修复过程。由于SlowHttp慢速攻击,选择了通过设置Tomcat超时时间来解决,而不是使用Nginx。针对Spring Boot的不同版本(1.x和2.x),提供了不同的配置方法。通过实现WebServerFactoryCustomizer接口或EmbeddedServletContainerCustomizer,调整超时时间,最终将超时时间设为8秒,成功解决了安全问题。
最近有个小工程扫描出一个安全漏洞, SlowHttp慢速攻击的,需要修改 Tomcat 的配置,也正好关于 Tomcat 的参数调优,正好记录一下。
漏洞信息
查了一下这个漏洞,漏洞有两个解决方法,
1 是通过 Nginx
2 是 Tomcat 设置超时时间
关于这个漏洞,可以看下以下这篇博客:
https://www.cnblogs.com/xiaoliu66007/p/10174672.html
看了下项目好像没有 Nginx,所以还是设置超时时间吧。
配置 Spring Boot 内置 Tomcat 参数的时候,需要区分 Spring Boot 的 版本,刚开始的时候我用的是 2.0 以下的方法,发现提示 EmbeddedServletContainerCustomizer 不存在,后来查询才发现,2.0 往上的版本写法不一样了。
1.x 版本通过实现 org.springframework.boot.context.embedded.EmbeddedServletContainerCustomizer 的customize方法来实现自定义配置。
2.x 版本使用 WebServerFactoryCustomizer 接口替换 EmbeddedServletContainerCustomizer 组件完成对嵌入式Servlet容器的配置。
解决的话看下自己对于的版本来进行配置。
解决
Spring Boot 1.x 版本
import org.apache.catalina.connector.Connector;
import org.apache.coyote.http11.Http11NioProtocol;
import org.springframework.boot.context.embedded.EmbeddedServletContainerFactory;
import org.springframework.boot.context.embedded.tomcat.TomcatConnectorCustomizer;
import org.springframework.boot.context.embedded.tomcat.TomcatEmbeddedServletContainerFactory;
import org.springframework.context.annotation
最低0.47元/天 解锁文章
扫一扫
461
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
