文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

tomcat漏洞修复

2023-09-30 12:55

关注

可通过HTTP获取远端WWW服务信息

漏洞详情:

本插件检测远端HTTP Server信息。这可能使得攻击者了解远程系统类型以便进行下一步的攻击。

该漏洞仅是为了信息获取,建议隐藏敏感信息。

解决方法:

隐藏版本号

进入$CATALINA_HOME\lib 目录中,

依次执行如下命令:

mkdir -p org/apache/catalina/util //创建文件夹,名称不可更改cd org/apache/catalina/util //进入目录vim ServerInfo.properties //创建文件,写入内容server.info=Apache Tomcat //这里编写自定义的版本信息

目标X-Content-Type-Options等响应头缺失

漏洞详情:

X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。

X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。

X-XSS-Protection响应头缺失

X-Frame-Options

Strict-Transport-Security

解决方法:

打开tomcat/conf/web.xml,增加如下配置

           httpHeaderSecurity        org.apache.catalina.filters.HttpHeaderSecurityFilter        true                    hstsEnabled            true                            hstsMaxAgeSeconds            31536000                            antiClickJackingEnabled            true                            antiClickJackingOption            SAMEORIGIN                            blockContentTypeSniffingEnabled                 true                            xssProtectionEnabled                 true                       httpHeaderSecurity        /*        REQUEST   

效果如图

检测到目标X-Download-Options响应头缺失

漏洞详情:

Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

解决方法:

在Tomcat服务器的web.xml上配置,路径tomcat/conf/web.xml。修改内容如下:

                          http method security            /*            PUT            DELETE            HEAD            TRACE                    

重新部署程序,重启tomcat即可完成

如下图:

检测到目标Content-Security-Policy响应头缺失

漏洞详情:

HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。

Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。

解决办法:

将您的服务器配置为发送“Content-Security-Policy”头。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133(v=ws.10).aspx对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html

tomcat: web.xml 添加如下:

            HttpHeaderSecurityFilter        org.apache.catalina.filters.HttpHeaderSecurityFilter                   contentSecurityPolicy           default-src 'self'; script-src 'self' tran.bfcec.com.cn:8080 tran.bfcec.com.cn;                          HttpHeaderSecurityFilter        /*    

来源地址:https://blog.csdn.net/m0_61069946/article/details/129652374

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-服务器
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯