Tomcat相关的安全扫描漏洞记录

最新推荐文章于 2024-07-01 21:07:59 发布
最新推荐文章于 2024-07-01 21:07:59 发布
阅读量2.8k 收藏 1
点赞数
分类专栏: 后端 文章标签: tomcat 安全扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangcha007/article/details/103059038
版权

目录

1.SSLv3漏洞(CVE-2014-3566)

2.检测到错误页面web应用服务器版本信息泄露

3.点击劫持:X-Frame-Options未配置

4.检测到目标服务器启用了OPTIONS方法

参考文献

1.SSLv3漏洞(CVE-2014-3566)

备注:SSLv3漏洞(CVE-2014-3566),该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。

针对此漏洞,需要服务器端和客户端均停用SSLv3协议。

(1)如果开启了https请求,又没有进行特殊设置,就会有这个漏洞,默认是支持SSLv3协议的

(2)如果不需要https请求,直接禁用https请求,sslEnable=false即可。

(3)假设需要https请求,找到server.xml,调整如下:

< Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"
               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                               TLS_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

可以通过 https://wosign.ssllabs.com/在线检测漏洞。

2.检测到错误页面web应用服务器版本信息泄露

备注:Web服务器未能正确处理异常请求导致Web服务器版本信息泄露,攻击者收集到服务器信息后可进行进一步针对性攻击。默认情况,404的页面是tomcat自身的,能看到tomcat的版本号。我们可以通过调整web.xml中配置,来修复。如下在web.xml中添加如下:

<error-page>
       <error-code>404</error-code>
       <location>/system_error.html</location>
    </error-page>
    <error-page>
       <error-code>403</error-code>
       <location>/system_error.html</location>
    </error-page>
    <error-page>
       <error-code>400</error-code>
       <location>/system_error.html</location>
    </error-page>
    <error-page>
       <error-code>500</error-code>
       <location>/system_error.html</location>
</error-page>

这样的话,相关错误就跳转到指定的system_error.html页面去了,这个页面,我们可以自己定制化。至于这个html放的位置,要根据你部署项目的情况来说,一般来说,放到根目录即可,和index.html入口文件放到一块。

另外,正式发布的时候,最好把tomcat对应webapp目录下原来自带的项目都删除掉,避免不必要的漏洞扫描麻烦,因为doc项目下也会有tomcat的版本信息,会有泄露服务版本的风险。

3.点击劫持:X-Frame-Options未配置

备注:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。

这个是页面可以被ifream引用的漏洞,可以通过配置调整web.xml来解决该问题。在tomcat的web.xml文件中,搜:httpHeaderSecurity,然后进行调整,调整如下:

<filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
        <init-param>
            <param-name>antiClickJackingEnabled</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>antiClickJackingOption</param-name>
            <param-value>DENY</param-value>
        </init-param>
</filter>
<filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
</filter-mapping>

红色是可以配置项,如下:

  • DENY:浏览器拒绝当前页面加载任何Frame页面。

  • SAMEORIGIN:页面只能加载入同源域名下的页面。

  • ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

注:如果只配置自己项目所属的web.xml则只限制单个项目,配置tomcat的web.xml,会限制在该tomcat下所有应用。

4.检测到目标服务器启用了OPTIONS方法

备注:OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感信息,这些信息将帮助攻击者准备更进一步的攻击。

可以通过配置web.xml只放开需要的请求协议,例如,我只放开get和post,相关配置如下:

    <!--请求协议禁用-->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>http method security</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
    <auth-constraint/>

直接在web.xml中添加如上配置即可。上述是禁用put/delete/head/options/trace这些请求。 

配置了之后,通过 curl -v -X OPTIONS http://xxx.xxx.xxx.xxx 进行验证即可。如果返回403禁用,那就是成功了。

参考文献

【1】OPTIONS方法禁用

凉茶冰
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat 服务器没有启用 httpHeaderSecurity 功能的解决方案
阿啄debugIT
02-09 7009
问题 针对以下问题进行修复: 缺少 "Content-Security-Policy" 头 缺少 "X-Content-Type-Options" 头 缺少 "X-XSS-Protection" 头 主要问题是 Tomcat 服务器没有启用 httpHeaderSecurity 功能 解决步骤及方法: 登入 192.168.18.66服务器,找到 Tomcat 配置目录:/root/vo...
tomcat漏洞扫描tomcat隐藏版本号,处理ajp漏洞
qq_35456400的博客
03-22 2521
1. tomcat漏洞 使用tomcat部署应用后,如果应用返回报错没有返回一个错误页面,会使用tomcat自定义的报错页面,这个页面有tomat版本号。可以根据这个版本号获取已经暴露出的漏洞,如ajp漏洞。可以根据版本号进行攻击,获取到tomcat应用webapps部署应用的文件夹下所有信息。所以需要隐藏版本号,并最好把已经暴露的漏洞修复。 2. 隐藏版本号 这里需要修改一个文件,把版本号删除 tomcat根目录下有lib文件夹,此文件夹下保存了tomcat使用的一些jar包,找到catalina.jar
windows server处理 CVE-2014-3566漏洞
weixin_43360094的博客
08-05 3655
windows server 处理 cve-2014-3566
漏洞修复:检测到目标服务器启用了OPTIONS方法
最新发布
yjfkeifk的博客
07-01 625
IIS+asp.net网站,使用绿盟和。
CVE-2014-3566 SSLv3 POODLE原理分析
weixin_34004576的博客
03-08 1076
insight-labs · 2014/10/15 14:110x00 背景POODLE攻击是针对SSLv3中CBC模式加密算法的一种padding oracle攻击。这个攻击方式和之前的BEAST攻击方式很像,可以让攻击者获取SSL通信中的部分信息的明文,比如cookie。和BEAST不同的是,它不需要对明文内容的完全控制,所以操作起来更加贴近实战。从根本上说,这是SSL设计上的问题,就像 Lu...
SSL 3.0 POODLE 攻击信息泄露漏洞 (CVE-2014-3566)
Lucifer的专栏
11-08 1098
OpenSSL 1.0.1i 及之前版本中使用的 SSL protocol 3.0 版本中存在安全漏洞,该漏洞源于程序使用非确定性的 CBC 填充。攻击者可借助 padding-oracle 攻击利用该漏洞实施中间人攻击,获取明文数据。测试代码:(1.0)
tomcat漏洞处理.zip
05-15
本文将深入探讨Tomcat漏洞处理的相关知识,帮助读者理解并掌握如何有效地预防和解决Tomcat安全隐患。 一、Tomcat简介 Apache Tomcat是一款开源的Web应用服务器,它实现了Java Servlet和JavaServer Pages(JSP)...
tomcat 升级到8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞
04-16
描述中提到的“在8.5.98基础上,增加了修复CVE-2024-24549拒绝访问漏洞的代码”,这表明Tomcat 8.5.99主要的更新内容是针对一个名为CVE-2024-24549的安全漏洞进行修复。CVE(Common Vulnerabilities and Exposures)...
apache-tomcat-10.0.20
04-15
10. **安全性修复**: 作为维护版本,10.0.20很可能包含了已知安全漏洞的补丁,确保用户的服务器环境更加安全。 下载并安装Apache Tomcat 10.0.20后,可以通过解压提供的`apache-tomcat-10.0.20`压缩包来部署和运行...
非常全的基线配置扫描脚本.zip
04-15
- **Tomcat on HP-UX**(midware_tomcat_hpux):Tomcat是Java Servlet和JavaServer Pages的开源应用服务器,检查可能涵盖JVM配置、目录权限、日志记录安全过滤器。 - **Domino on Solaris**(midware_domino_...
安全漏洞管理制度.doc
09-27
漏洞信息来源多样,包括但不限于软件和硬件供应商的安全公告,内部渗透测试和安全审查,使用安全漏洞评估工具扫描,以及来自合作伙伴和外部安全组织的漏洞通知。 3. 级别定义和处理时间要求 3.1.1 高风险漏洞 高...
tomcat httpHeaderSecurity.jar
12-11
tomcat httpHeaderSecurity.jar
解决tomcat配置ssl错误的解决办法
05-29
解决tomcat配置ssl错误的解决办法,不一定有用,只是一个备份。不需要分就是因为不一定能帮到谁。
Google发布SSLv3漏洞简要分析报告
weixin_34253126的博客
01-08 144
摘要:今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。 作者:FreebuF.COM 来源:ZDNet安全频道 | 2014年10月15日 11:59:26 关键字:Goo...
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
热门推荐
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页...
11. 利用Tomcat服务器配置HTTPS双向认定
大头鱼
07-13 3104
【代码】11. 利用Tomcat服务器配置HTTPS双向认定。
[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法...
weixin_34357887的博客
10-19 808
使用了360网站安全检测 查到有OPTIONS方法 百度了下 https://my.oschina.net/maliang0130/blog/338725 找到这个方法奈何http.conf 找不到无论在tomcat目录里还是linux路径下的/usr/etc或者apache2 最后通过开源中国找到 第一步:修改应用程序的web.xml文件的协议 &lt;?xml version="1.0" e...
linux禁用options方法,WEB服务器启用OPTIONS方法汇总大全
weixin_35799569的博客
05-13 1800
HTTP方法是在Web服务器上启用。选择的方法提供了一个清单,由Web服务器支持的方法,这是一个关于通信选项的请求URI标识的请求/响应链信息的请求。危害:选项方法可能会暴露敏感信息,可能有助于恶意用户准备更高级的攻击。危害:攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法windows 2008-2012:请在wwwroot目录建立...
java+设置全局响应头_[网络/Java EE/Web]Tomcat/Nginx中配置全局的安全响应头(header)——X-Frame-Options / X-XSS-Protection / X...
weixin_28871821的博客
02-27 1781
Step1 配置Tomcatstep1.1 查看是否已配置目标的HTTP网络安全头方式1 – Tomcat / conf/web.xmlcat /opt/myTomcat/conf/web.xml | grep --color=auto -C 10 -i "httpHeaderSecurity"方式2 查看Tomcat的任一Web HTTP网页/请求step1.2 确认Tomcat服务器中(ca...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值