漏洞扫描常见修复方案

最新推荐文章于 2025-02-05 10:15:07 发布
最新推荐文章于 2025-02-05 10:15:07 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: 框架 tomcat 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CVJASBPTR/article/details/111239924
版权
本文详细介绍了针对Apache Tomcat服务器的常见安全问题及修复方案,包括:AJP协议安全、SlowHTTPDoS攻击防御、示例文件删除、CSRF防护以及错误信息隐藏。修复措施包括修改配置文件、限制连接超时时间、删除示例文件、添加CSRF令牌以及调整服务器响应行为。此外,还提及了低版本JQUERY和SSL证书的更新建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、Apache JServ protocol service

描述:
问题出在Tomcat的8009端口,错误的提示是8009端口上运行着tcp协议。
修复方案:

解决办法:

只能是通过关闭8009端口来实现
Apache JServ protocol  =  AJP 解决方案:修改tomcat 的service.xml配置文件 将
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> 这一行注释掉

2、Slow HTTP DEnial of Service Attack

描述:利用HTTP POST请求时,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节并保持这个连接不断开。当客户端连接数达到一定程度,占用服务器的所有可用连接,从而导致DOS。
修复方案:

对web服务器的http头部传输的最大许可时间进行限制,修改成最大许可时间为20 秒
以tomcat为例,打开server.xml找到
  <Connector port="8080" protocol="HTTP/1.1"
  connectionTimeout="20000"
  redirectPort="8443" />
  将其中的connectionTimeout="20000"改为connectionTimeout="8000",其单位是毫秒。

3、Apache Tomcat sample files

描述:Apache Tomcat示例目录漏洞

修复方案:

删除Tomcat默认安装目录下所有文件

4、HTML form without CSRF protection

描述: HTML form without CSRF protection =HTML表单没有CSRF保护

修复方案:

html头部引入
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
String uuid = UUID.randomUUID().toString().replaceAll("-", "");
	request.getSession().setAttribute("randTxt",uuid);
	//设置cookie只读
	String sessionid = request.getSession().getId();
	response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly");
from表单中映入隐藏input
<input type="hidden" name="randSesion"  value = "<%=request.getSession().getAttribute("randTxt")%>" />

5、Apache Tomcat Application Error

描述:
当服务器出现错误的时候,发生500错误时,有关服务器出现的问题信息,会展现在浏览器的页面上Tomcat的路径,这样就会把服务器的路径暴露在对服务器攻击的攻击者,攻击者可以利用这些信息进行攻击,所以需要我们处理这些错误的提示信息!

修复方案:

<Host/>属性:name:主机域名

appBase:该主机下的所有应用所在的文件目录

在conf/catalina.properties中最后添加2行:

tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}
org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true

在conf/server.xml中的<Connector>节点中,添加2个属性:

relaxedPathChars="|{}[]"
relaxedQueryChars="|{}[]"

JQUERY版本过低
修复方案:

修改文件中的所有版本好为最新版本
末尾加上$.fn.jquery = "";

SSL证书版本低修复
修复方案

生成新的证书替换
keytool -genkey -alias jboss -keypass 123456 -keyalg RSA -keysize 2048 -validity 36500 -keystore /Users/server_bac.keystore -storepass 123456
【主机漏洞扫描常见修复方案】:Tomcat安全(机房对外Web服务扫描)
专注于计算机研发知识和资讯分享
10-24 416
【代码】运维小技能:Tomcat安全(机房对外Web服务扫描)
常见漏洞修复方案
qq_44806973的博客
11-26 4473
在这里收集总结一下常见漏洞的修复方案吧,尽可能详细
关于网站扫描到的几种漏洞及处理办法
Javaming_o_O的博客
05-20 1659
1.Apache JServ protocol service漏洞 问题出在Tomcat的8009端口,错误的提示是8009端口上运行着tcp协议。 解决办法:只能是通过关闭8009端口来实现,但是关闭端口之后对Tomcat有影响,目前还没有找到好的解决办法。 2.HTML form without CSRF protection 问题出在表单提交没有保护,可以伪造一个表单进行提交。 解...
HTML 表单和验证
weixin_44212853的博客
06-16 3416
必填:required。写在input上。鼠标聚焦:刷新时聚焦:autofocus。写在input上。点击提示文字,聚焦到输入框:标题和input 表单不验证,解除required等:表达验证:pattern=“正则表达式 ”历史记录联想:autocomplete=“on/off”表单下拉提示框:注意list="province"和id=“province” search伪类元素美化 number表单设置最大长度,无法使用maxlength等,以下使用js方法 设置步长:点击按
安全漏洞扫描修复系统的高质量技术详解
最新发布
运维人生
02-05 809
安全漏洞扫描是指通过特定的技术手段,对计算机系统、应用程序或网络进行全面的安全检查,以发现其中存在的潜在漏洞。这些漏洞可能源于软件编程错误、配置不当或系统架构缺陷等,一旦被恶意利用,可能导致数据泄露、系统崩溃或非法控制等严重后果。因此,及时发现并修复这些漏洞对于保障网络安全至关重要。修复系统则是在扫描发现漏洞后,采取一系列措施来消除这些漏洞的过程。修复措施可能包括更新系统补丁、修改配置文件、优化代码结构等。有效的修复系统能够确保漏洞得到彻底修复,从而提高系统的安全性和稳定性。
Tomcat-Apache HOWTO Tomcat+Apache HOWTO
hem的专栏
06-06 2417
  Tomcat-Apache HOWTOThis document explains how to connect Tomcat to the popular open source web server, Apache. It was originally part of Tomcat: A Minimalistic Users Guide by Gal
html form without csrf protection,尽管在表单中发送CSRF令牌,但不支持Spring Security CSRF 405方法POST...
weixin_35123047的博客
06-18 823
我使用的是Spring框架版本4.3.5.RELEASE . Spring安全版是4.2.2.RELEASE .我正面临一个与CSRF有关的奇怪问题 . 每当我提交一个表单(来自JSP文件), Sometimes it works fine, the form gets submitted without error but sometimes after submitting the form...
最近WEB安全扫描问题汇总
ivan0609的专栏
06-15 1万+
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery
华为漏洞扫描服务 常见问题
05-03
华为漏洞扫描服务是一种云计算安全解决方案,旨在帮助用户检测和修复云计算环境中的漏洞。下面是华为漏洞扫描服务常见问题的知识点总结: 一、基本概念 1.1 区域和可用区 区域是指云计算服务提供商在特定地理位置...
Nginx 漏洞扫描修复方案
CBC Java技术博客
06-11 4058
目录漏洞扫描结果漏洞扫描缓慢的HTTP拒绝服务攻击漏洞等级:中修改建议Nginx 修复建议具体nginx配置文件WebSphere 修复建议Weblogic 修复建议Apache 修复建议IHS服务器F5负载均衡修复建议IIS服务器 漏洞扫描结果 漏洞扫描 OSS2.0 物联网创新业务系统进行web类安全扫描发现1类安全问题,本次发现“缓慢的HTTP拒绝服务攻击”漏洞问题,综合评定网络安全等级处于中风险状态。 缓慢的HTTP拒绝服务攻击 http://172.25.5.13:10056 漏洞等级:中 缓慢的
SQL+XSS漏洞修复方案
04-13
SQL注入和跨站脚本(XSS)是两种常见的网络安全漏洞,它们对网站的数据安全性和用户隐私构成严重威胁。...在实际项目中,定期的安全审计和漏洞扫描也至关重要,以便及时发现并修复潜在的安全问题。
html表单csrf攻击的解决方案
sunchanglan151的博客
06-29 1340
xsrf form html,asp.net mvc - HTML form without CSRF protection alert (Acunetix) - Stack Overflow
weixin_32175665的博客
06-10 279
I use in my form @Html.AntiForgeryToken() and in action I use [ValidateAntiForgeryToken] attribute but when test my site by Acunetix get this error :HTML form without CSRF protectionhtml :جستجوی خود...
工具Acunetix web scanner 扫描的漏洞修复
qq_31949853的博客
12-17 4904
1、HTML form without CSRF protection 解决:添加一个 &lt;input type="hidden" name="session"  autocomplete="off"  class="layui-input" value="12345"/&gt; 其中value的值是从后台传递过来的,提交表单时验证 2、User credentials are se
acunetixhe AppScan扫描出来的漏洞解决方法。后续出现在做补充!!!!
HAC12的博客
09-25 677
扫描的漏洞解决1.会话标识未更新(漏洞)解决方法:2.low HTTP Denial of Service Attack 漏洞解决办法3.HTML form without CSRF protection4.Apache JServ protocol服务 怎么关闭? 结束了。我的青春结束了!!! 1.会话标识未更新(漏洞)解决方法: 下面展示一些 内联代码片。 private void createNewSession(HttpServletRequest request, HttpServletResp
无csrf防护的html页面,CSRF防护 Step by Step(亲测版)
weixin_35710880的博客
06-04 537
阅读:2,619CSRF(Cross-site request forgecy):跨站请求伪造,是一种常见的网络攻击方式。究竟什么是CSRF以及如何防御呢?CSRF原理CSRF攻击流程如下图所示:简而言之,就是攻击者盗用了你的合法身份,并以你的名义发送恶意请求,比如:以你的名义发送邮件和消息,用你的钱买东西,把你的钱从账户转出……后果不堪设想。CRRF防御CSRF的防御方式大概有如下几种:通过 r...
AJP13漏洞利用
热门推荐
爱测未来团队博客
10-31 1万+
前言 平时学习过程中使用nmap扫描目标服务器或者C段的时候经常会发现8009端口的AJP13服务,一直没有很在意这个服务是干嘛的。直到遇见一个服务器没有开放其他多余的端口情况下迫不得已要弄清楚,开放的这个服务是干什么的,MSF下的脚本又使用不方便功能单一,所以就有了这个文章。 AJP13服务简介 AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值