Tomcat的相对安全设置与配置(安全与漏洞)

原创 已于 2022-03-25 15:05:41 修改 · 3.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #tomcat

于 2020-09-29 16:29:53 首次发布
本文记录了系统漏洞测试后的Tomcat配置调整,包括删除默认示例文件、禁用不安全HTTP方法、禁止RC4加密算法以及清理缓存的两种方法。详细介绍了在server.xml和web.xml中进行的配置修改,旨在提升服务器的安全性和性能。
前言:

近期, 系统进行了漏洞测试, 更改了很多东西, 特写一篇文章进行记录 !!!

1丶存在Apache tomcat示例文件

解决方案: 删除webapps目录下的自带项目

2丶启用了不安全的HTTP方法

解决方案: 禁用未使用到的HTTP方法
1丶找到Tomcat下server.xml文件, 启用TRACE方法
//__原因: 先启用了, 我们才能禁用它, 否则禁用会失效

<Connector port="8765" protocol="HTTP/1.1" connectionTimeout="60000" redirectPort="8443" allowTrace="true" />

2丶找到Tomcat下web.xml文件,添加如下配置

<!-- 禁用不安全的http方法 -->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>DENY METHOD</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>DELETE</http-method>
            <http-method>PATCH&
最低0.47元/天 解锁文章
SpringBoot开发——给所有Controller接口添加统一前缀的5种方式
bjzhang75的博客
12-04 2060
SpringBoot开发——给所有Controller接口添加统一前缀的5种方式
14-1 tomcat安全基线检查
weixin_43263566的博客
12-07 1858
Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP)Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为其对于Web应用的高效运行支持,即便是在性能相对有限的硬件平台上,也能保证良好的运行效率。
禁用3DESDES弱加密算法,保证SSL证书安全
热门推荐
weixin_39724395的博客
01-03 4万+
apache服务器禁止使用3DES加密算法,在server.xml中添加配置
Apache Tomcat文件包含漏洞复现(详细教程)
最新发布
2509_93930198的博客
10-28 1064
Tomcat是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。Apache Tomcat服务器通过Connector连接器组件客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。
【linux-网络-静态IP配置
Japathy
10-18 495
最近在学Hadoop,于是便跟着视频搭建伪分布式集群,结果一直卡在网卡配置上。 现将完整的过程记录下来。 1. 配置你想要的网段 这里配置仅主机模式是为了在非局域网内,多个主机相互通信,这里配置了182网段的IP地址,主要是给虚拟机使用的。 2. 配置Windows主机IP(这个我认为是相当于把多个虚拟机中的linux主机放在一个内网下) 3. 进入虚拟机配置静态IP 4. 由于我是搭建集群环境,所以复制了3台linux。并且改了MAC地址 第3步中的HWADDR就是这里生成的MAC了,只有这两个配
springboot项目中需要配置文件上传解析器吗_springboot插件式开发框架
weixin_39642687的博客
11-22 274
springboot插件式开发框架介绍该框架主要是集成于springboot项目,用于开发插件式应用的集成框架。核心功能插件配置式插拔于springboot项目。在springboot上可以进行插件式开发, 扩展性极强, 可以针对不同项目开发不同插件, 进行不同插件jar包的部署。可通过配置文件指定要启用或者禁用插件。支持上传插件和插件配置文件到服务器, 并且无需重启主程序, 动态部署插件、更新插...
Spring Boot 接口统一前缀 path-prefix
小单的博客专栏
03-20 9286
需求如题,想给一个 spring boot 项目的所有请求路径添加统一前缀,可以通过 context-path 来配置。但是在同时存在静态资源和 Controller 接口的项目中,如果希望静态资源从根路径访问,并且所有接口拥有统一路径前缀,则需要通过 Spring 层面来解决这个问题(context-path 是 web 容器层面的,如果配置它则会把静态资源都包含进去)。如上URL示例中,希望放在 springboot 根目录 static 中的静态资源能直接通过根路径访问。也可以是多级路径,例如。
springboot添加前缀
qq_39624298的博客
05-29 743
server.servlet.context-path=/wzxl/
Tomcat漏洞复现
YouthBelief的博客
10-25 988
Tomcat漏洞复现前言一、tomcat 文件上传 (CVE-2017-12615)0x01 漏洞描述0x02 影响范围0x03 漏洞利用0x04 修复方法二、tomcat-pass-getshell 弱口令0x01 漏洞描述0x20 影响范围0x03 漏洞利用0x04 修复方法三、tomcat 文件包含 (CVE-2020-1938)0x01漏洞描述0x02 影响范围0x03 漏洞利用0x04 修复方法官方升级其他防护措施 前言 以前记录笔记都用word等太乱也找不到,现在重新开始。 一、tomcat
Tomcat AJP安全漏洞
KING丨殇痕
11-29 3513
关于Apache Tomcat存在文件包含漏洞   2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 Tomcat AJP ConnectorAJP协议   Tomcat Connector 是 Tomcat 外部连接的通道,它使得
Tomcat漏洞解析复现
LJH1999ZN的博客
03-31 3509
Tomcat是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。 tomcat默认的conf/server.xml中配置了2个Connector,一个为8080的对外提供的HTTP协议端口,另外一个就是默认的8009 AJP协议端口,两个端口默认均监听在外网ip。 一、Aapach
SpringBoot配置详解
06-11
spring boot application properties配置详解
如何给springboot项目所有请求接口加前缀
qq_43538925的博客
12-07 2523
【代码】如何给springboot项目所有请求接口加前缀。
SpringBoot全局设置请求路径增加前缀
myli92的博客
05-17 3841
1.增加自定义注解ApiRestController2. 替换@RestController到注解@ApiRestController3. 配置WebMvcConfigurer@Component@Overrideconfigurer。
springboot给整个项目加路由前缀
kekexiaomayi的博客
05-17 678
加完后接口变成:/start/getRoom。在application.yml里加。
springboot 给controller路径增加前缀
myli92的博客
10-01 2928
springboot-web在访问的时,全局增加访问前缀,需要自定义配置。如果使用webmvc需要实现 WebMvcConfigurer的配置类并实现configurePathMatch方法,如果使用webfulx需要继承WebFluxConfigurer并实现configurePathMatching方式。 2.2 webfulx下配置 2.局部配置(只修改部分) 2.1 自定义注解 2.2controller上增加注解使用 2.2修改WebMvcConfigurer配置
Springboot关于JPA的初始化过程
IT搬砖工在路上
09-17 1805
目录一、HibernateJpaAutoConfigurationHibernateJpaConfiguration 前言: 在使用Springboot的过程中,由于Springboot为我们做了大量的初始化配置工作,所以我们在使用的时候只需要进行少许的配置就能达到我们想要的目的, 但是也正因为如此,对于很多不了解其中原委的同学而言一旦配置有问题或者确实配置而报错,从何处开始排查问题便成为了一个困难,甚至当业务需求要求打破springboot的默认配置的时候时候,我们自定义的配置应该如何进行也会难到一
Springboot实现基于前缀的自定义配置和自动提示功能
FeelTouch Labs
05-11 8429
一、实现基于前缀的自定义配置 1. 引入maven依赖 <!-- @ConfigurationProperties annotation processing (metadata for IDEs) --> <dependency> <groupId>org.springframework.boot</grou...
SpringBoot学习
weixin_43976906的博客
04-13 603
SpringBoot学习 1.第一个springboot项目 1.1点击File–>new project–>选择Spring Initializr–> 第二步:选择web应用;选择数据库Mybatis 项目创建完成后的结构如下: 2.SpringBoot一些常见问题说明 springboot中默认的页面前缀是templates,后缀是.html 3.SpringBoot中的注解 @Configuration 的详细注解:https://blog.youkuaiyun.com/loongkin
Tomcat安全防护策略详解
Tomcat安全防护涉及多个层面,包括操作系统的选择和配置、服务器自身的设置以及网络层的保护。通过综合运用这些策略,可以显著降低被攻击的可能性,为用户提供一个相对安全的运行环境。然而,安全防护是一个持续的...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值