漏洞描述
默认错误页、默认索引页、示例JSP和/或示例servlet安装在远程ApacheTomcat服务器上。应该删除这些文件,因为它们可以帮助攻击者发现有关远程Tomcat安装或主机本身的信息。
在日常工作中,经常需要处理这样的漏洞修复,很多同学第一反应就是删除默认引导页,但是再次访问时,同样会暴露tomcat的版本。如下图所示
网络上的解决方法大部分都是
1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar 进入到\org\apache\catalina\util目录下
2、编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等信息
3、改完后自动跳出提示,点击“是”自动更新catalina.jar重新打包。
server.info=Apache Tomcat/8.5.79
改为server.info=Apache Tomcat,如果不想显示Tomcat信息,则可以将其改为server.info= 即可。
其实有更简单的方法可以解决这个问题
具体配置方法为:
在conf/server.xml配置文件中的<Host>配置项中添加如下配置:
<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />
修改后,重启tomcat,访问页面验证如下
至此问题解决!
扫一扫
763
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
