tomcat安全加固手册

最新推荐文章于 2025-05-10 11:01:13 发布
最新推荐文章于 2025-05-10 11:01:13 发布
阅读量336 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qw_0214/article/details/115377447
本文提供了一套详细的Tomcat服务器安全加固方案,包括隐藏版本信息、禁用默认账户、自定义关闭指令等措施,旨在提高Tomcat服务器的安全防护水平。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

项目场景:

         tomcat 渗透测试
         

问题描述:

 

 根据  tomcat安全加固手册 改渗透所会涉及安全问题。

下载tomca的最新版本

tomcat版本与jdk版本对应

隐藏tomcat版本号

修改tomca目录

/lib/catalina.jar解压的文件下的:\org\apache\catalina\util\ServerInfo.properties文件修改后替换该文件

server.info=Apache Tomcat
server.number=1
server.built=Jan 28 2021 09:12:57 UTC

 

删除webapps文件夹下的示例程序及文档

项目打war包后方webapps文件夹里其他文件删除掉

tomcat版本泄露:

Apache-Coyote/1.1自定义

apache-tomcat-7.0.108\conf\server.xml 修改:

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000" server="server"
               redirectPort="8443" URIEncoding="UTF-8" maxPostSize="-1" maxHttpHeaderSize ="1024000"/>

禁止登录

注释掉/conf/tomcat-users.xml中的用户信息:

<!--
  <role rolename="tomcat"/>
  <role rolename="role1"/>
  <user username="tomcat" password="<must-be-changed>" roles="tomcat"/>
  <user username="both" password="<must-be-changed>" roles="tomcat,role1"/>
  <user username="role1" password="<must-be-changed>" roles="role1"/>
-->

自定义SHUTDOWN 字符串

修改conf/server.xml中shutdown值为自定义复杂字符串:

<Server port="8005" shutdown="SBSBSBSBSBUSB">

 

开启日志审核

取消日志配置注释:

 

禁止列出目录

修改conf/web.xml的listings为false

 

海的颜色~
关注
tomcat安全加固手册.pdf
05-22
tomcat安全加固手册.pdf,总结了常用的tomcat安全加固方法,可以根据此文档完成tomcat安全加固
Tomcat 安全加固
02-21
安全加固Tomcat是重灾区。所以整理下Tomcat安全加固。升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级.
TOMCAT 中间件安全加固
最新发布
A1_3_9_7的博客
05-10 769
对于一些常见的错误页面,我们可以在配置文件/etc/tomcat/web.xml中,重定向403、404以及500错误到指定页面。在这里插入图片描述我们现在在web.xml配置文件中加入error-page参数。在这里插入图片描述我们现在编辑我们的错误页面。该错误页默认放在我们webapps目录中。在这里插入图片描述这里是我们tomcat默认的页面所在位置。在这里插入图片描述重启tomcat服务,我们可以看到,页面为我们自定义的错误页面了。在这里插入图片描述。
tomcat安全加固
weixin_30781107的博客
12-09 301
本文基于tomcat8.0.24 1、删除文档和示例程序 【操作目的】删除示例文档 【加固方法】删除webapps/docs、examples、manager、ROOT、host-manager 【是否实施】是 2、禁止列目录 【操作目的】防止直接访问目录时由于找不到默认页面而列出目录下的文件 【加固方法】打开web.xml,将<param-name>listings...
tomcat安全加固配置手册
weixin_34258782的博客
03-09 314
2019独角兽企业重金招聘Python工程师标准>>> ...
Tomcat安全加固
weixin_34200628的博客
08-20 199
1.   Tomcat运行在非root用户下        为Tomcat创建的专用用户,并拥有必须的最小权限。    useradd tomcat -M -d / -s /usr/sbin/nologin2.   删除默认的应用       webapps目录下的应用删除或禁止访问。3.   关闭Shutdown端口或复杂化停止密码       Shutdown端口设置为-1 或为Shutdow...
tomcat优化
weixin_33871366的博客
05-07 112
转载来自百衲本 tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。以下是一些安全加固的方法: 版本安全 升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级。 服务降权 不要使用root用户启动tomcat,使用用普通用户启动Tomcat...
TOMCAT安全加固手册.docx
03-03
TOMCAT安全加固手册
Tomcat安全加固手册】:打造坚不可摧的Web服务器
本文旨在提供一份Tomcat安全加固的全面指南,涵盖了基础安全配置、安全管理和性能优化的各个方面。从用户认证授权、SSL/TLS加密通信配置,到应用程序部署安全,再到服务器日志管理、文件系统权限设置,本文详细介绍...
tomcat 安全规范(tomcat安全加固和规范)
01-10
tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。以下是一些安全加固的方法: 版本安全  升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级。 服务降权 不要使用root用户启动tomcat,使用用普通用户启动Tomcat,集群内用户名统一UID 端口保护 1 更改tomcat管理端口8005 ,此端口有权限关闭tomcat服务,但要求端口配置在8000~8999之间,并更改shutdown执行的命令 2 若 Tomcat 都是放在内网的,则针对 Tomc
Tomcat7安全加固指南
weixin_34111819的博客
05-06 271
   大家都知道,Tomcat是Apache软件基金会下的一个免费、开源的WEB应用服务器,可以运行在Linux和Windows等多个平台上,由于其性能稳定、扩展性好、免费等特点深受广大用户喜爱。目前,很多互联网应用和企业应用都部署在Tomcat服务器上。    正是因为Tomcat有上述一系列的好处,所以很多用户都对Tomcat有着深入的研究,包括Tomcat的目录结构,漏洞分析等等,这时候如...
Tomcat服务安全加固和优化_tomcat加固使用安全的http请求
2401_87378753的博客
09-22 1826
tomcat有漏洞, 需要升级到9.0.312020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。
Tomcat服务安全加固
weixin_34357887的博客
06-29 304
Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。由于运维人员的疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接上传 Webshell 脚本导致服务器沦陷。 通常 Tomcat 后台管理的 URL 地址为 http://iP:8080/manager/html/, 如下图所示: 黑客通过猜解到的口令登录 To...
Tomcat加固
qq_45174221的博客
02-11 586
本文章旨在说明如何尽可能地加强Tomcat服务器的安全性和隐私性。 免责声明:非专业人员请不要尝试在本文中的任何内容
Tomcat中间件安全加固
wbxshi的博客
07-06 1161
如果您希望禁用某些HTTP方法,可以配置Tomcat的/conf/web.xml文件里的。Tomcat/bin目录下的start.sh、catalina.sh、shutdown.sh的权限不高于744。编辑 Tomcat/conf/server.xml 配置文件,连接超时修改为5000秒。(4)更改port属性的值来更改Tomcat的默认端口。(5)切换到 Tomcat 用户,启动 Tomcat。(1)打开Tomcat安装目录下的conf文件夹。(3)将 Tomcat 目录改为 Tomcat
Burpsuite 指纹特征绕过
Javachichi的博客
12-05 3770
需要高版本 17 + 的 burp 运行插件,可 bypass 网站流量设备的检测,正常抓包。未使用插件前,burp 指纹特征被识别,抓包被拦截。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值