解决tomcat关于SSL的漏

最新推荐文章于 2025-05-30 13:21:31 发布
原创 最新推荐文章于 2025-05-30 13:21:31 发布 · 1.1w 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tomcat nessus #漏洞

本文介绍了一次使用Nessus扫描工具发现并修复Tomcat Web服务中SSL/TLS相关漏洞的过程,包括SSLv3 POODLE漏洞等。通过调整Tomcat配置文件server.xml中的SSL协议和密钥套件设置,成功解决了所有检测到的安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、原由

最近使用nessus扫描一款Web服务软件,发现了四个漏洞,如下:

SSL Version 2 and 3 Protocol detection 

SSLv3 Padding Oracle On Downgrade Legacy Encryption Vulnerability(POODLE)

SSL Weak Cipher Suites Supports

SSL/TLS EXPORT_RAS<512-bit Cipher Suites Supported(FREAD)

2、漏洞分析

对每个显示的漏洞点击进去后,发现产生漏洞的端口号:8843
        使用以下命令查找得到进程名:
netstat -ano | findstr "8843"    #得到进程的PID
tasklist | findstr “PID"              #得到进程名
确认问题是因为Tomcat引起的漏洞。

3、解决方案

经过查找tomcat配置ssl协议,得知需要配置tomcat/conf/server.xml文件,里面与SSL协议相关的部分如下:
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS" 
               keystoreFile="conf/tomcat.keystore" keystorePass="123456"
               truststoreFile="conf/tomcat.keystore" truststorePass="123456"/>
上面显示已经将当前的tomcat使用的是TLS协议,但是一直不生效,经过同事的帮助,发现了下面的一段话:

rmeisen:The answers will vary depending on your Tomcat and Java versions, and if you are usingJSSE verses AJP. The differences are assubtle as 

sslProtocols=TLSv1 verses sslProtocol="TLS" (Notice that s). 

Specifying your Tomcat &Java versions will save you from insanity.

于是将配置修改如下:
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocols="TLSv1"
               keystoreFile="conf/tomcat.keystore" keystorePass="123456"
               truststoreFile="conf/tomcat.keystore" truststorePass="123456"/>
再次扫描,发现漏洞:
SSL Version 2 and 3 Protocol detection 、
SSLv3 Padding Oracle On Downgrade Legacy Encryption Vulnerability(POODLE)已经解决。

继续做如下修改:
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocols="TLSv1"
               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA,                                             TLS_DHE_DSS_WITH_AES_128_CBC_SHA"
               keystoreFile="conf/tomcat.keystore" keystorePass="123456"
               truststoreFile="conf/tomcat.keystore" truststorePass="123456"/>
剩下的两个漏洞也消失啦。
以后修改配置的时候,一定要注意不同版本的tomcat及jdk的配置之前的差异。


引用相关链接:http://serverfault.com/questions/637649/how-do-i-disable-sslv3-support-in-apache-tomcat
Tomcat中的ssl安全信道的实现
seaboat——a free boat on the sea.(公众号:远洋号)
11-03 4923
为了实现https协议通信,tomcat需要利用JSSE把SSL/TLS协议集成到自身系统上,通过上一节我们知道不同的厂商可以实现自己的JSSE,而tomcat默认使用的是以前sun公司开发实现的包而且由JDK自带。 Tomcat实现http及https通信的基础是什么?其实http与https的不同就是在创建通信套接字服务器时的不同,http是没有任何加密措施的套接字服务器,而https是靠嵌
Nginx 基本概念(反向代理、动静分离、负载均衡、高可用)、安装配置(JDK\Tomcat\Nginx\Keepalived)、配置实例效果
07-12 832
理想中是平均分配 现在80端口是开放的 如修改了nginx的配置文件nginx.conf,就需要重新加载才能生效,注意不是重启nginx,只是重新加载配置文件 以某个域名访问的时候,首先会在本地的hosts文件查找是否有这个域名与ip的映射配置,没有才会走dns域名解析 ...
SSL Version 2 and 3 Protocol Detection漏洞修复
weixin_45504270的博客
12-18 938
IIS Crypto 是一个免费工具,使管理员能够在 Windows Server 2008,20122016 和 2019 上启用或禁用协议,密码,哈希和密钥交换算法。它还允许您重新排序 IIS 提供的 SSL / TLS 密码套件,更改高级设置,只需单击即可实施最佳实践,创建自定义模板并测试您的网站。IIS Crypto 工具网址:https://www.nartac.com/Products/IISCrypto/使用这个工具,设置简单方便,功能也多,懒人必备啊。使用 IIS Crypto 工具。
解决tomcat配置ssl错误的解决办法
05-29
解决tomcat配置ssl错误的解决办法,不一定有用,只是一个备份。不需要分就是因为不一定能帮到谁。
漏洞Reconfigure the affected application to avoid use of weak cipher suites. 修复方案
上班搞IT,下班搞ITF。
05-30 917
摘要: 针对弱加密套件的安全修复方案,需先确认当前加密配置(如OpenSSL/Nginx/Java等支持的套件),再禁用不安全算法(如RC4、3DES),仅保留强加密套件(如AES-GCM、ECDHE)。提供Nginx、Apache、Tomcat及Java的具体配置示例,推荐优先使用TLS 1.2/1.3及前向保密算法。修复后通过OpenSSL命令或在线工具(如SSL Labs)验证,并建议启用HSTS、升级密钥位数及定期更新组件。修改后需重启服务生效,注意第三方库兼容性。
tomcat中使用SSL连接
Mr_Pang的专栏
08-13 869
阅读本篇文章的朋友请注意,这只是我为了自己能记得牢而写下来的。更具体的,请看这里。 步骤: 1.使用jdk自带的keytool生成证书,命令为:keytool -genkeypair -alias tomcat -keyalg RSA - validity 730这行命令是生成一个别名为tomcat的有效期为730天的证书。keytool这个命令的具体用法请看这里。执行完这
Tomcat SSL解决方案
03-29
里面包含可执行的.bat文件和linux执行文件,生成文件
Tomcat 开启HTTPS 后爆发SSL相关漏洞解决方法
weixin_33924312的博客
05-13 1070
最近用绿盟扫描系统进行全网系统扫描,有几台设备被扫出了SSL相关漏洞,在此做一个简短的笔记。本次涉及漏洞1.漏洞名称:SSL 3.0 POODLE***信息泄露漏洞(CVE-2014-3566)【原理扫描】2.SSL/TLS 受诫礼(BAR-MITZVAH)***漏洞(CVE-2015-2808)【原理扫描】知识普及1:SSL协议要点SSL(Secure Sockets La...
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
weixin_45574151的博客
04-07 3727
SSL/TLS协议信息泄露漏洞(CVE-2016-2183) 这是通过扫描工具扫描出来的漏洞,处理此等问题升级即可; 官方地址:https://www.openssl.org/source/ 1、centos上直接升级: openssl version -a //确认当前版本,备份证书文件和秘钥文件 cp -r /usr/bin/openssl /usr/bin/openssl_bak 【备份也可以不做】 cp -r /usr/include/openssl /usr/include/openssl_ba
Tomcat运行成功了但在网页为什么会打不开
03-22
嗯,用户之前问了关于JAVA_HOME环境变量是否必须放在C盘的问题,现在又遇到Tomcat运行成功但网页打不开的情况。我需要一步步分析可能的原因。 首先,用户可能已经正确设置了JAVA_HOME,并且Tomcat成功启动,这说明...
使用tomcat发布一个外网可以访问的网站
最新发布
06-04
不过这些引用里缺少防火墙设置的具体操作,需要结合标准解决方案补充。深层需求上,用户作为开发者可能希望快速验证部署效果,因此需要强调测试步骤。ta特意提到“外网”,说明可能是个人项目或测试环境,暂时不需要...
24-Mar-2025 13:43:38.234 信息 [Catalina-utility-2] org.apache.catalina.startup.HostConfig.deployDirectory 把web 应用程序部署到目录 [D:\AAA\USERPROG\Java_DEV\Tomcat9\webapps\manager] 24-Mar-2025 13:43:38.252 信息 [Catalina-utility-2] org.apache.catalina.startup.HostConfig.deployDirectory Deployment of web application directory [D:\AAA\USERPROG\Java_DEV\Tomcat9\webapps\manager] has finished in [18] ms java.sql.SQLException: No suitable driver found for jdbc:mysql://localhost:3306/customerdb?useSSL=false&serverTimezone=UTC at java.sql.DriverManager.getConnection(DriverManager.java:689) at java.sql.DriverManager.getConnection(DriverManager.java:247) at com.example.customer.CustomerDAO.getConnection(CustomerDAO.java:17) at com.example.customer.CustomerDAO.addCustomer(CustomerDAO.java:39) at com.example.customer.CustomerService.register(CustomerService.java:9) at com.example.customer.servlet.RegistServlet.doPost(RegistServlet.java:35) at javax.servlet.http.HttpServlet.service(HttpServlet.java:660) at javax.servlet.http.HttpServlet.service(HttpServlet.java:741) at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:231) at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166) at org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:53) at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193) at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166) at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:200) at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:96) at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:490) at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:139) at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:92) at org.apache.catalina.valves.Abstract
03-25
同时,URL中的jdbc:mysql://部分是否正确,是否掉了端口号或数据库名称? 接下来,我需要将这些可能性转化为具体的解决步骤,并验证每个步骤的正确性。 首先,确保驱动类被正确加载。用户可以在获取连接之前添加...
Tomcat部署java项目,反馈漏洞CVE-2005-4900: TLS SHA-1 安全漏洞(中危) *
向着太阳微笑
10-11 4980
CVE-2005-4900: TLS SHA-1 安全漏洞
四十六、Tomcat配置SSL加密
骑上单车去旅行的博客
12-01 825
通过以上步骤,你就可以在Tomcat中成功配置SSL加密,提高Web应用程序的安全性。
tomcat扫修复及调优
a120717的博客
06-30 5261
环境 Centos7 8G tomcat7 nessus扫修复 12085 - Apache Tomcat Servlet / JSP Container Default Files 删除tomcat/webapps/下example、doc、manager,(ROOT保留,内部只留下自定义的404页面) 35291 - SSL Certificate Signed...
sslv3 poodle漏洞 检测解决方法
luminous_you的博客
03-21 3331
漏洞详情 POODLE(Padding Oracle On Downgraded Legacy Encryption)即安全漏洞(CVE-2014-3566),此漏洞曾影响了使用最广泛的加密标准——SSLv3.0,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。目前我们要通过禁用SSLv3去修复此漏洞。 检测方法 在线网站检测 https://www.ssleye.com/ssltool/poodle.html ht
java生成SSL证书并添加信任,tomcat配置https访问并解决扫描漏洞问题
mr__bai的博客
12-27 8372
Keytool 是一个 Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存储于一个称为 keystore 的密钥库文件中。
POODLE Vulnerability: Padding Oracle on Downgraded Legacy Encryption
翟海飞
08-04 2370
INTRODUCTION POODLE abbreviates to Padding Oracle On Downgraded Legacy Encryption. This vulnerability was discovered by Bodo Möller, Thai Duong & Krzysztof Kotowicz from the GOOGLE
SSL/TLS协议详解以及配置实战
热门推荐
swadian2008的博客
04-17 1万+
SSL/TLS协议是一种安全通信协议,用于在计算机网络上保护数据传输的机密性、完整性和身份验证。SSL代表安全套接字层(Secure Socket Layer)TLS代表传输层安全性(Transport Layer Security),它是SSL的继任者。// 实际上还是非对称加密的算法客户端发送一个SSL/TLS连接请求到服务器。服务器发送一个数字证书给客户端。数字证书包含服务器的公钥和其他信息。客户端验证数字证书,以确保证书来自可信的证书颁发机构,没有被篡改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值