web项目:漏洞修复(2)_tomcat配置

最新推荐文章于 2023-09-08 09:22:49 发布
最新推荐文章于 2023-09-08 09:22:49 发布
阅读量311 收藏 1
点赞数
分类专栏: java 文章标签: 漏洞修复 tomcat配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nxllong/article/details/78142639
版权

Tomcat配置文件调整处理“启用了不安全的 HTTP”漏洞

漏洞:

启用了不安全的 HTTP方法

----自测,中危

任务:

禁用 WebDAV,或者禁止不需要的 HTTP 方法。

禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序。

解决方案:

修改tomcat/conf/web.xml文件

 

第一步:备份web.xml文件

 

第二步:将web.xml文件的协议更换为

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"  

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  

   xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  

version="2.4"> 

 

位置:是非注释行的第二行

(在<?xml version="1.0" encoding="UTF-8"?>  下面)

 



第三步:调整一

最低0.47元/天 解锁文章
nxllong
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
idea配置tomcat启动web项目的图文教程
09-29
主要介绍了idea配置tomcat启动web项目的教程,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
常见web开发安全漏洞修复方案
小刘的博客
02-02 3135
1.不充分账户封锁 (一) 安全问题描述 发送了两次合法的登录尝试,并且在其间发送了几次错误的登录尝试。最后一个响应与第一个响应相同。这表明存在未充分实施帐户封锁的情况,从而使登录页面可能受到蛮力攻击 解决方案 效果,当用户登录错误3次,则提醒30分钟后才可再次登录 if(!checkLock(session, username)) { Syst...
web项目漏洞扫描修改实践
a120717的博客
06-25 815
前一段笔者负责的项目进行了安全渗透测试,现总结一下,以便有需要的朋友参考 。 问题 redis未授权访问漏洞 猜测出远程SNMP服务存在可登录的用户名口令 反射型跨站脚本编制漏洞(即xss) UI信息泄露 cookie未设置HttpOnly属性 敏感信息泄露 支持不安全的http方法 密码复杂度策略 账号锁定策略 redis未授权访问漏洞 即其它机器无需密码可直接连接redi...
tomcat漏洞修复
m0_61069946的博客
03-19 4776
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
Tomcat漏洞CVE-2017-12615 CVE-2020-1938 tomcat8漏洞复现分析
m0_61506558的博客
09-21 2989
tomcat存在管理后台进行应用部署管理,且管理后台使用HTTP基础认证进行登录。若用户口令为弱口令,攻击者容易进行暴力破解登录后台并进行应用管理。Tomcat支持在后台部署war文件,可以直接将webshell部署到web目录下。
tomcat版本升级
拥有梦想的日子
10-16 4650
在传统项目中的tomcat版本太老,诸多第三方安全公司检测都会检测出很多高危,中危的漏洞需要修补。 小版本号升级(7.0.53升级到7.0.106)只需要替换lib文件夹下的jar包即可,部分版本号升级可能需要替换tomcat的本地库bin/tcnative-1.dll文件。 如果是32位tomcat升级到64位的tomcat还需要替换bin文件夹下的tomcat7.exe和tomcat7w.exe(Windows系统下)。如果不替换在启动服务时会提示不是有效的32位程序。 注:AJ...
2007年图书:JSP_JSF_Tomcat Web编程从入门到精通
11-16
2007年图书:JSP_JSF_Tomcat Web编程从入门到精通
第一个Java Web项目:JSP+MySQL+Tomcat、BBS论坛项目.zip
最新发布
01-14
java实战
lib_TheWeb_tomcat_
10-03
No-Code Automations: The Future of the WebBy Neftali Loria
tomcat-with-java_web.rar_Tomcat与Java Web_java web
09-21
tomcat与java-web结合,开发技术详解。
Tomcat 漏洞修复建议
zzuwyw的博客
06-23 2115
Tomcat 漏洞修复建议Tomcat进程运行权限检测访问控制总结 Tomcat进程运行权限检测访问控制 描述 在运行Internet服务时,最好尽可能避免使用root用户运行,降低攻击者拿到服务器控制权限的机会。 加固建议 创建低权限的账号运行Tomcat,操作步骤如下: ?--新增tomcat用户 useradd tomcat --将tomcat目录owner改为tomcat chown -R tomcat:tomcat /opt/tomcat -- 停止原来的tomcat服务 --切换到tomcat
Tomcat爆出严重漏洞,影响所有版本,附解决方案!
热门推荐
xmt1139057136的专栏
02-22 1万+
作者:业余草来源:https://www.xttblog.com/?p=4809昨天,群里聊嗨了。大家都在远程办公,却都急急忙忙的升级线上的 Tomcat 版本,原因就是 Tomcat ...
Tomcat8.5.34.0版本漏洞修复
modaner的博客
08-26 1141
5.替换tomcat相关文件 server.xml web.xml catalina.sh logs。2.停止tomcat服务,备份源tomcat文件夹只tomcat_bak目录。6.重命名apache-tomcat-8.5.79文件夹为tomcat。漏洞1:拒绝式服务漏洞 组件远程代码执行漏洞 反序列话代码执行漏洞。Tomcat8.5.34.0版本漏洞修复漏洞2:AJP协议文件读取与包含严重漏洞。4.拷贝文件至/usr/local目录下。7.注释掉配置文件中的AJP协议。3.解压tomcat。...
Apache Tomcat 漏洞复现
来日可期的博客
09-08 4161
Tomcat7 弱密码和后端 Getshell 漏洞,Aapache Tomcat AJP任意文件读取/包含漏洞,通过 PUT 方法的 Tomcat 任意写入文件漏洞
Tomcat漏洞复现
Bird&Bird
12-28 5293
目录一、漏洞描述二、影响范围三、漏洞分析四、环境搭建五、漏洞复现 一、漏洞描述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615)。当存在漏洞的Tomcat 运行在 Windows 主机上,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务
Tomcat漏洞修复方法【补丁下载及安装详细流程】
m0_67402235的博客
08-26 4899
目录访问tomcat的官网漏洞补丁网址会看到各个版本的tomcat的漏洞修复记录及方法例如 搜索CVE-2016-6797漏洞的补丁点击revision后的序列号 进入补丁修复界面,进来之后,可以看到详细的漏洞修复方法,及补丁http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.16...
tomcat 漏洞集合
qq_53229503的博客
09-02 7071
tomcat 漏洞集合
中间件漏洞--tomcat
夜行者的博客
02-21 1755
1.后台地址泄露解决办法: 1). 删除TOMCAT_HOME/webapps/docs、examples、manager、ROOT、host-manager 2). 编辑TOMCAT_HOME/web.xml,修改<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>下的初始化参数<param-name>listings</param-name>...
tomcat下配置web.xml修复不安全的请求方法漏洞
ssf1987的专栏
01-09 1733
1、黑名单方式: &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;web-resource-name&gt;fortune&lt;/web-resource-name&gt; &lt;url-pattern&gt;/*&lt;/url-pattern&...
CVE-2021-26084 tomcat漏洞修复
05-11
3. 检查您的Tomcat配置文件,确保您已禁用了“文件上传”和“文件下载”功能,以减轻攻击的风险。您可以通过编辑Tomcat的配置文件(如server.xml)来禁用这些功能。 4. 部署Web应用程序时,确保您只部署了可信的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值