HOWTO:在 Tomcat 中抑制服务器身份

于 2022-07-21 14:17:16 发布
阅读量360 收藏
点赞数
文章标签: tomcat 服务器 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/125911310
版权

注意:本 HOWTO 合并了我的两个独立博客条目中的帖子,这些帖子涉及删除 Apache Tomcat 中的信息泄露漏洞。尽管以 Tomcat 6.0 和 7.0 版本为中心,但这些技术也可以应用于 JBoss。

介绍

信息泄露漏洞是向攻击者提供有关 Web 容器或在容器内运行的 Web 应用程序的配置和/或版本详细信息的问题。这些细节引发的担忧是,攻击者掌握的有关您的 Web 应用程序或应用服务器的信息越多,攻击者就越容易想出破坏服务的方法。

安全审计人员和扫描实用程序发现的与 tomcat 相关的最常见的信息泄露漏洞类型是列出服务器类型和服务器版本信息的漏洞。最常报告的两个信息泄露漏洞涉及服务器 HTTP 响应标头中报告的 Tomcat 版本和报告服务器类型和版本详细信息的默认错误页面。

如何修改服务器标头

您可以修改您的 tomcat server.xml 并添加一个“ server”选项并将其设置为您想要的任何内容。server应该为您正在运行的任何 http 或 ssl 连接器设置该选项。例如,下面是来自示例 server.xml 文件的示例 HTTP 连接器配置:

<Connector port="8080" maxHttpHeaderSize="8192"
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
     enableLookups="false" redirectPort="8443" acceptCount="100"
     connectionTimeout="20000" disableUploadTimeout="true" />

添加server如下指令:

<Connector port="8080" maxHttpHeaderSize="8192"
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
     enableLookups="false" redirectPort="8443" acceptCount="100"
     connectionTimeout="20000" disableUploadTimeout="true"
     server="Apache Tomcat">

如何从默认错误页面中删除 Tomcat 服务器版本详细信息

不幸的是,您无法轻松更改配置文件指令,因为默认值已编译到 tomcat 中。可以修改 Tomcat 源代码分发并重新编译,但大多数管理员可能不愿意构建自己的 Tomcat 分发。tomcat 文档建议您设计和部署自己的自定义错误页面,然后修改各种 web.xml 文件,以便使用error-page指令将用户指向这些自定义错误页面。

如果您的 web 应用程序部署在 ROOT webapp 中,您只需修改位于您的 web.xml 文件$CATALINA_HOME/webapps/ROOT/目录。如果您将 webapp 部署到 ROOT,任何有效的错误响应都将继承自定义错误。但是,如果使用单独的上下文部署额外的 web 应用程序,这种情况会发生变化。在这些情况下,需要修改每个 webapp 的 web.xml 以指向您的自定义错误页面。例如,如果您在 ROOT webapp 的 web.xml 中设置了自定义错误页面指令,并且没有部署任何单独的 Web 应用程序,则所有 404 将返回 404 自定义错误。如果您部署一个名为“newapp”的应用程序,那么任何发送到 /newapp 的错误请求都需要使用该应用程序的 web.xml 中定义的自定义错误进行处理。在 /newapp 之外发出的错误请求仍将按预期由 ROOT 应用的 web.xml 配置处理,直到您添加额外的 webapp。在这种情况下,

使用将 webapp 部署到 Tomcat ROOT 上下文中的配置并假设您已经开发了自定义错误 500 和 404 页面,您可以将以下内容添加到您的 ROOT Web 应用程序的 web.xml 配置中,该配置通常位于$CATALINA_HOME/webapps/ROOT/

<error-page>
  <error-code>500</error-code>
  <location>/errors/500.html</location>
</error-page>
<error-page>
  <error-code>404</error-code>
  <location>/errors/404.html</location>
</error-page>

通过向您的 tomcat 实例发送对不存在文件的请求进行测试,您的自定义错误页面将改为显示。

奖励:如何在 Tomcat 中删除 X-Powered-By 标头

为了抑制 Tomcat 6.0 和 7.0 中的 X-Powered-By 标头,您可以对您的 tomcat server.xml 文件进行非常简单的更改。编辑位于${tomcat.home}/conf/中的server.xml文件。将名为xpoweredby的属性添加到 HTTP 连接器部分并将其值设置为false。重新启动服务器,一切就绪。

allway2
关注
tomcat服务器配置文件虚拟路径,tomcat如何配置虚拟路径
weixin_42339883的博客
08-09 1481
第一步:打开server.xml配置文件、在Host节点里写上该行代码:如下图:它的作用是只要路径以/upload开头它就会自动的匹配到E盘的upload文件夹下数据库的存放路径就是上面红色的方框里面的内容,前台直接用EL表达式取值就可以直接显示图片了,这样做的好处就是所有的文件都放到了服务器上的磁盘下,减少了项目的大小Tomcat配置虚拟路径访问容器外的硬盘资源问题: 如果tomcat上传了很...
Tomcat
IChen.的博客
11-22 836
简介 Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、...
Tomcat优化设置
睨噷蹇蜣的博客
12-17 517
一. .修改 jvm 为 server 版 在命令行 java -version 可以看到 jvm 配置的是哪个版本。 编辑 %JAVA_HOME%\jre\lib\i386\jvm.cfg ,把第二行的 -server KNOWN 放到第一行 二、调整参数 修改 server.xml maxThreads 可创建的最大的线程数。 acceptCount 指定当所有可以使用的处理请求的线程数都被...
服务器设置 Header响应头(Server、X-Frame-Options、X-Powered-By)
liangpingguo的博客
06-24 4110
一、iis7/8隐藏banner信息 进入在【Internet 信息服务(IIS)管理器】-【HTTP 响应头】,添加或删除或修改即可。 隐藏Server版本信息,安装UrlScan,打开%WINDIR%\System32\Inetsrv\URLscan,配置URLScan.ini: RemoveServerHeader=0; 改为RemoveServerHeader=1; 添加X-Frame-Options Header 进入在【Internet 信息服务(IIS)管理器】-【HTTP
Tomcat包含的配置文件、名字、作用分析记录
FeelTouch Labs
01-04 7891
目录 Tomcat v8.5配置文件 context.xml server.xml web.xml tomcat-users.xml 参考 Tomcat v8.5配置文件 从上面的目录的截图可以看出,除了catalina.*文件外,其实配置文件就是context.xml server.xml web.xml tomcat-users.xml四个文件,那么接下来我们一次看下这4个...
X-Powered-by
qq_29566629的博客
03-03 4379
这是一个常见的非标准的HTTP响应头(很多有X-前缀的头都是非标准的),一般会包含php的版本,这样会造成一定的安全威胁,消除这个隐患的方式为: 修改 php.ini 文件。添加或修改 expose_php = Off ...
Howto: 在Tomcat上如何集成Pentaho和Liferay
03-06
博文链接:https://pikachu.iteye.com/blog/65266
how tomcat work
12-28
Tomcat启动时,会读取`server.xml`配置文件,解析服务器的全局配置,如端口设置、连接器配置、Context定义等。然后初始化各个组件,建立监听套接字,等待客户端请求。 3. **请求处理**: - **接收请求**:当...
how tomcat work 文版
10-27
"how tomcat work 文版" 这个标题和描述重复多次,表明我们关注的主题是关于Tomcat服务器的工作原理的文解释。Tomcat是一款开源的、基于Java Servlet和JavaServer Pages(JSP)技术的Web应用服务器,由Apache...
how tomcat work_文版(源码)
07-29
总的来说,这份资料对于想要深入了解Tomcat、提升服务器性能的开发者来说,是一份极其宝贵的参考资料,结合理论与实践,可以帮助读者全面掌握Tomcat的运作机制,从而在实际工作更加得心应手。
Tomcat基线检查
gd0913的博客
04-20 1979
既无权访问非必须的文件,又不能执行非必须的程序 威胁等级:High 规则描述 缺省情况下,Java运行时根据运行它的用户授予安全权限。当Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹所有文件的全部权限。并且Servlets(JSP在运行过程要转换成Servlets)取得了同样的权限。所以Java代码可以调用Java SDK的文件API列出文件夹的全部文件,删除任何文件,最大的危险在于以系统权限运行
隐藏服务器端信息X-Powered-By: Servlet/3.0
由入门到精通
08-20 4705
X-Powered-By: Servlet/3.0 Content-Type: text/html; charset=UTF-8 X-Powered-By头信息泄露了服务器端信息,导致攻击者更容易用服务器端的漏洞针对性攻击。 应用部署是由web服务器间件apache和应用服务器间件websphere组成。 需要修改webpshere的配置:com.ibm.ws.webcontai...
Tomcat 配置详解/优化方案
热门推荐
.    于思索中前行
11-07 8万+
Service.xml Server.xml配置文件用于对整个容器进行相关的配置。 元素: 是整个配置文件的根元素。表示整个Catalina容器。 属性: className:实现了org.apache.catalina.Server接口的类名,标准实现类是org.apache.catalina.core.StandardServer类。 Port:Tomcat服务器监听用于关闭T
Tomcat配置文件入门
jubincn的专栏
11-23 2万+
Tomcat 基本配置   tomcat读取配置文件 首先简单说一下tomcat是如何读取配置文件的。tomcat在启动时,首先找系统变量CATALINA_BASE,如果没有,则找CATALINA_HOME。然后找这个变量所指的目录下的conf文件夹,从读取配置文件。 最重要的配置文件:server.xml 要配置tomcat,基本上了解server.xml,context.xml
nginx隐藏 X-Powered-By HTTP头
rojanzhang的专栏
12-26 7558
规则描述: x-powered-By表示网站是用什么技术开发的,它会泄漏开发语言、版本号和框架等信息,有安全隐患,需要隐藏掉。 根据: 审计描述: 检查nginx.conf文件,是否存在以下配置: proxy_hide_header X-Powered-By; 修改建议: 在nginx.conf文件使用指令proxy_hide_header隐藏它 proxy_hide_h...
隐藏响应的server,X-Powered-By
峰之流觞的博客
05-21 8156
隐藏响应的server,X-Powered-By隐藏X-Powered-By修改 php.ini 文件 设置 expose_php = Offapache 隐藏 server修改httpd.conf 设置 ServerSignature OffServerTokens Prodnginx 隐藏 server修改nginx.conf  在http里面设置 server_tokens off;...
关于web服务器头部的Server与X-Powered-By信息
changjunkui的专栏
01-07 1990
通过工具可以查询到站点服务器信息与程序信息及版本,其实这是通过服务器响应头信息里返回的,如果把这些信息暴露出去对站点不安全,我们可以通过隐藏或修改头信息的方法来阻止这些信息暴露 头信息包含服务器信息与程序信息 有些查询工具在我们输入某个站点的URL后就能判断这个站点的WebServer与程序类型。 例如在站长工具下guofei.me站点: 查询豆瓣的
关闭X-Powered-By 信息(隐藏PHP版本信息)
qq_36663951的博客
08-12 7692
会暴露服务器运行的是php 修改 php.ini 文件 设置 expose_php = Off 官方给出的说明 Decides whether PHP may expose the fact that it is installed on the server (e.g. by adding its signature to the Web server header). It is
tomcatconf文件夹下的web.xml
虽然我很菜
09-23 8285
<web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://
Tomcat内部机制解析:How Tomcat Works 文指南
Tomcat,这通常对应于`javax.servlet.http.HttpServletResponse`。 3. **调用servlet**:servlet容器根据Web应用的部署描述符(web.xml)找到相应的servlet,并调用其`service()`方法,传递request和response...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值