Tomcat应用进行漏洞扫描时存在漏洞:Http请求的Hostname字段没有严格的域名限制,导致可以绕过一些防护措施。如下图所示。
可以直接访问链接 IP:8080,页面展示tomcat官方地址。
解决办法思路就是不能访问 IP:8080,或者返回空白页面。
1、创建空白 index_new.jsp
进入tomcat根目录/webapps/ROOT目录下,创建空白文件 index_new.jsp。
touch index_new.jsp
2、修改tomcat配置
进入tomcat安装目录/conf目录。
vim web.xml
找到 节点welcome-file-list。修改 index.jsp为刚创建的 index_new.jsp。这里的index.jsp就是tomcat官网那个页面。修改为刚刚创建的空白页面。
3、重启tomcat
进入到bin目录
./shutdown.sh
./startup.sh
4、验证
再次访问8080页面。
看到访问IP:8080,返回了空白页面,再次进行复扫,验证通过。