Apache Tomcat Default Files
Contents
参考资料
https://www.tenable.com/plugins/nessus/12085
影响说明
docs, examples 等目录以及默认的 404 页面会泄露 Tomcat 的版本信息。
此外,攻击者可以利用 example 中的部分示例代码读写 session, 有一定潜在危害。
检测方法
访问如下若干页面,不应有 Tomcat 的版本信息泄露。
http://192.168.1.1:8080/docs/
http://192.168.1.1:8080/examples/
http://192.168.1.1:8080/PageNotExist.jsp
也可以使用 wget 来访问。
wget --no-check-certificate https://192.168.112.114/PageNotExist.jsp
修复参考
1 删除 /docs/, /examples/。
2 隐藏 404 页面的 Tomcat 版本信息,可以考虑使用自定义的 404 页面。
修复细节
对于隐藏 404 页面的 Tomcat 版本信息,以下两种方案二选一即可,建议使用重打包 Tomcat jar 的方式。
自定义 404 页面
Tomcat配置400/404/500自定义错误页面
https://blog.csdn.net/JustinQin/article/details/78879185
how to build server level custom error page in tomcat?
https://stackoverflow.com/questions/13914575/how-to-build-server-level-custom-error-page-in-tomcat
史上最全 web.xml 配置文件元素详解
https://www.cnblogs.com/hafiz/p/5715523.html
web.xml 参考
https://tomcat.apache.org/tomcat-5.5-doc/appdev/deployment.html
隐藏 Tomcat 版本信息
重打包 Tomcat jar
https://jingyan.baidu.com/article/d2b1d102a9dc955c7e37d487.html
http://blog.51cto.com/chicozy/1878453
unzip catalina.jar
vim org/apache/catalina/util/ServerInfo.properties
#
# server.info=Apache Tomcat
# server.number=0.0.0.0
# server.built=Nov 7 2016 20:05:27 UTC
#
jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties
# restart tomcat
Leave a Reply