我的编程空间,编程开发者的网络收藏夹
学习永远不晚

tomcat漏洞修复

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

tomcat漏洞修复

可通过HTTP获取远端WWW服务信息

漏洞详情:

本插件检测远端HTTP Server信息。这可能使得攻击者了解远程系统类型以便进行下一步的攻击。

该漏洞仅是为了信息获取,建议隐藏敏感信息。

解决方法:

隐藏版本号

进入$CATALINA_HOME\lib 目录中,

依次执行如下命令:

mkdir -p org/apache/catalina/util //创建文件夹,名称不可更改cd org/apache/catalina/util //进入目录vim ServerInfo.properties //创建文件,写入内容server.info=Apache Tomcat //这里编写自定义的版本信息

目标X-Content-Type-Options等响应头缺失

漏洞详情:

X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。

X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。

X-XSS-Protection响应头缺失

X-Frame-Options

Strict-Transport-Security

解决方法:

打开tomcat/conf/web.xml,增加如下配置

           httpHeaderSecurity        org.apache.catalina.filters.HttpHeaderSecurityFilter        true                    hstsEnabled            true                            hstsMaxAgeSeconds            31536000                            antiClickJackingEnabled            true                            antiClickJackingOption            SAMEORIGIN                            blockContentTypeSniffingEnabled                 true                            xssProtectionEnabled                 true                       httpHeaderSecurity        /*        REQUEST   

效果如图

检测到目标X-Download-Options响应头缺失

漏洞详情:

Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

解决方法:

在Tomcat服务器的web.xml上配置,路径tomcat/conf/web.xml。修改内容如下:

                          http method security            /*            PUT            DELETE            HEAD            TRACE                    

重新部署程序,重启tomcat即可完成

如下图:

检测到目标Content-Security-Policy响应头缺失

漏洞详情:

HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。

Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。

解决办法:

将您的服务器配置为发送“Content-Security-Policy”头。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133(v=ws.10).aspx对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html

tomcat: web.xml 添加如下:

            HttpHeaderSecurityFilter        org.apache.catalina.filters.HttpHeaderSecurityFilter                   contentSecurityPolicy           default-class="lazy" data-src 'self'; script-class="lazy" data-src 'self' tran.bfcec.com.cn:8080 tran.bfcec.com.cn;                          HttpHeaderSecurityFilter        /*    

来源地址:https://blog.csdn.net/m0_61069946/article/details/129652374

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

tomcat漏洞修复

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

phpStudy poc漏洞复现以及漏洞修复办法

phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响
2023-06-03

ewebeditor漏洞怎么修复

修复ewebeditor漏洞的步骤如下:1. 确定漏洞的具体细节和影响范围:通过对漏洞的分析和测试,了解漏洞的具体原因和可能造成的危害。2. 更新ewebeditor版本:检查是否有可用的更新版本,下载最新的版本并安装。3. 应用安全补丁:
2023-09-21

ubuntu漏洞怎么修复

这篇文章主要介绍了ubuntu漏洞怎么修复的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇ubuntu漏洞怎么修复文章都会有所收获,下面我们一起来看看吧。1.首先,在buntu10.1中使用组合键“ctrl+al
2023-07-04

win10漏洞如何修复

本篇内容介绍了“win10漏洞如何修复”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!win10漏洞需要修复吗:答:win10漏洞需要修复的。
2023-06-30

怎么修复ecshop漏洞

这篇文章主要介绍了怎么修复ecshop漏洞,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。1、ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件
2023-06-08

编程热搜

目录