Tomcat隐藏版本号和禁用OPTIONS.

最新推荐文章于 2023-09-12 15:54:50 发布
最新推荐文章于 2023-09-12 15:54:50 发布
阅读量1.8k 收藏 4
点赞数 2
文章标签: linux 安全 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43915921/article/details/112539901
版权

安全测试之 Tomcat隐藏版本号和禁用OPTIONS.

最近由于要提交安全渗透测试,被BP测试出来的一些问题.

1.Tomcat隐藏版本号:
在这里插入图片描述

  • 上面是使用BP测试出来的,由于版本号是敏感信息所以需要把他版本号隐藏.
  • 找到服务上的tomcat/lib这个目录下的catalina.jar文件,修改里面的ServerInfo.properties文件.打开之后会看里面是这样的

.

server.info=Apache Tomcat/x.x.xx (Ubuntu)
server.number=x.x.xx.x
server.built=Jun 30 2017 03:59:57

把他修改成这样


> server.info=Apache Tomcat server.number=0.0.0.0 server.built=Jun 30
> 2017 03:59:57

然后再用BP测试一下就没有了

2.禁用OPTIONS请求.

在这里插入图片描述

通过OPTIONS方法提交特定的请求,在响应中查看allow头信息,在allow头中发现delete、put等选项,delete方法是用来调试web服务器连接的http方式,支持该方式的服务器文件可能被非法删除;put方法用来向服务器提交文件,测试显示部分请求中这些方法是允许的。恶意用户或攻击者一旦成功利用此漏洞,将可以通过调用Delete方法恶意删除服务器中的文件,可以调用Put方法上传恶意文件到服务器。解决方案是修改系统web服务器配置,禁止使用除GET、POST外其他方法。

1.第一步我们先找到tomcat的web.xml位置然后修改.

<security-constraint>
        <web-resource-collection>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint>
        </auth-constraint>
    </security-constraint>
    <login-config>
        <auth-method></auth-method>
    </login-config

2.然后在web.xml同一目录下找到server.xml文件.allowTrace默认是false,需要手动添加一个为True,就可以禁用除了GEP和POST以外的方法了.

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443"  allowTrace="true"/>

这样就大功告成了.
weixin_43915921
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Tomcat禁用OPTIONS协议
A_Runner的博客
06-08 1万+
冷冷七弦上,静听松风寒 最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是: 启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表 解决方案: 你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 打...
Tomcat禁用OPTIONS协议(禁用Web请求方式)
ClearLoveQ的博客
05-14 8169
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 这时我们需要禁用一些方法,比如DELETE,PUT防止攻击者对服务器进行攻击 对于部署在tomcat上的应用来说,需要在tomcat的web.xml的配置文件中添加相应的配置,来达到禁用方法的目的: 步骤1:在web.xml文件中添加如下配置 &l...
OPTIONS方法禁用
zqhao的博客
03-13 2万+
在给系统做安全检测的过程中,发现了一个低危安全性问题,检测到目标服务器启用了OPTIONS方法OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。 解决...
Nginx/Tomcat 关闭options方案
qianghong000的博客
03-24 1078
关闭options得根据服务器使用的WEB容器种类来决定方法,下面列举主流的。 nginx 参考: HTTP方法 评估结果 建议 说明 解决方案 HEAD 安全 无 除了服务器不能在响应中返回消息体,HEAD 方法与 GET 相同。HEAD 请求的响应中的 HTTP 头部中包含的元信息应该与 GET 请求发送的响应中的信息相同。该方法可用来获取请求暗示实体的元信息,而不需要传输实体本...
隐藏tomcat版本号的catalina.jar
01-04
替换lib下的同名文件即可隐藏tomcat版本号,用于规避安全漏洞检查。替换前请备份
tomcat 7 最新版本 apache-tomcat-7.0.109
07-07
tomcat 7 最新版本 apache-tomcat-7.0.109
apache-tomcat-8.5.75.tar.gz
01-22
apache-tomcat-8.5.75.tar.gz
最新版linux apache-tomcat-9.0.50.tar.gz
07-10
最新版linux apache-tomcat-9.0.50.tar.gz最新版linux apache-tomcat-9.0.50.tar.gz
最新版linux apache-tomcat-9.0.46.tar.gz
05-18
最新版linux apache-tomcat-9.0.46.tar.gz最新版linux apache-tomcat-9.0.46.tar.gz
tomcat禁止PUT等方法
03-29
tomcat禁止PUT等方法,记录下来方便以后使用
Tomcat禁用 OPTIONS 和 TRACE 并隐藏 Apache-Coyote/1.1 并启动APR模式
chuai5828的博客
07-24 1103
其实禁用OPTIONSTRACE 等动词就是禁用webdev协议 打开tomcat–>conf–>web.xml 文件: 将以下代码注释或删除: <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" x...
WELOGIC&TOMCAT禁用OPTIONS方法
sdjzuch的专栏
09-16 1750
1、验证是否允许使用OPTIONS方法请求 curl -v -X OPTIONS http://IP:PORT/SERVLETNAME 如:curl -v -X OPTIONS http://127.0.0.1:2438/custserv 如果允许OPTIONS方法则返回如下: * About to connect() to 127.0.0.1 port 2438 (#0) * Tr...
tomcat登录违反协议_解决 Tomcat禁用OPTIONS协议(不安全的HTTP方法
weixin_31507527的博客
01-17 1374
最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是:启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表解决方案:你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用;打开tomcat–>conf–>...
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求头 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
tomcat隐藏版本号及乱码解决办法
最新发布
u013430054的博客
09-12 624
2、将日志的编码格式也修改一下,打开tomcat的\conf\logging.properties。1、打开tomcat的/conf/server.xml,给它显示的增加编码方式。3、其实以上这两步我的问题已经解决了,但是我在看别人也提供了其他的方法,如下。打开tomcat下\bin\catalina.bat文件下增加。
tomcat禁用options等请求协议
wtjhaoxia的博客
07-10 1370
最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是: 启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表 解决方案: 你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 打开tomcat–>con...
Tomcat过滤请求方式
q908544703的博客
06-02 1542
1.修改tomcat配置文件conf的web.xml(增加红色部分) 2.新增如下内容 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87
Intellij IDEA 的Tomcat Server 配置VM options参数说明
热门推荐
10-13 5万+
点击Intellij IDEA 界面窗口Run,打开Edit Configuration,出现Run/Debug Configurations界面。Application server 选择安装Tomcat所在的文件夹,点击Configuration一般自动配置好了,其他的就按照图上的填写。 VM options这项需要我们自己填写,我填的是VM options : -Xms768m
tomcat隐藏版本号
05-18
隐藏Tomcat版本号,可以采取以下步骤: 1. 找到Tomcat的conf目录下的server.xml文件,修改其中的Connector节点,添加属性server=" ",即在server属性中添加一个空格。 2. 在Tomcat的lib目录下,找到catalina.jar文件并解压,在META-INF目录下找到MANIFEST.MF文件。 3. 在MANIFEST.MF文件中添加以下两行代码: Implementation-Vendor: Implementation-Version: 注意,在Implementation-Vendor和Implementation-Version之间是有一个空行的。 4. 重新打包catalina.jar文件并放回lib目录下,然后重启Tomcat服务器。 这样做之后,通过访问Tomcat服务器的默认页面或者使用工具扫描Tomcat服务器的漏洞时,就无法获取到Tomcat的具体版本信息了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值