描述:Tomcat对外开放了默认目录,攻击者可随意浏览Tomcat文件。
修复建议:关闭互联网映射,或者直接删除默认页
这个方式是个坑。百度还一堆这玩意。1是删除了servlet只是把渲染去掉了,实际的默认web页面和信息还在。
2是某些应用调用了默认的mapping映射,导致应用起不来。
错误示范:
直接删除默认页:删除以下conf/web.xml配置文件中的相关内容。删除servlet和mapping中的default内容。搜索关键词<servlet-name>default 然后删除图片中的所有内容。
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>default</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
有用的操作:
直接删除或者重命名默认的web目录就行,然后访问的时候就会变成404.
相对路径为:webapps/ROOT。如果改目录下没有其他文件内容可以直接操作,ROOT/目录下默认所有的文件内容如下,如果含以下文件没有的内容,和开发确认清除。