Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

【主机漏洞】 Apache Tomcat Default Files

wpadmin~July 20, 2018 /InfoSec

Apache Tomcat Default Files

参考资料

https://www.tenable.com/plugins/nessus/12085

影响说明

docs, examples 等目录以及默认的 404 页面会泄露 Tomcat 的版本信息。
此外,攻击者可以利用 example 中的部分示例代码读写 session, 有一定潜在危害。

检测方法

访问如下若干页面,不应有 Tomcat 的版本信息泄露。
http://192.168.1.1:8080/docs/
http://192.168.1.1:8080/examples/
http://192.168.1.1:8080/PageNotExist.jsp

也可以使用 wget 来访问。

wget --no-check-certificate https://192.168.112.114/PageNotExist.jsp

修复参考

1 删除 /docs/, /examples/
2 隐藏 404 页面的 Tomcat 版本信息,可以考虑使用自定义的 404 页面。

修复细节

对于隐藏 404 页面的 Tomcat 版本信息,以下两种方案二选一即可,建议使用重打包 Tomcat jar 的方式。

自定义 404 页面

Tomcat配置400/404/500自定义错误页面
https://blog.csdn.net/JustinQin/article/details/78879185

how to build server level custom error page in tomcat?
https://stackoverflow.com/questions/13914575/how-to-build-server-level-custom-error-page-in-tomcat

史上最全 web.xml 配置文件元素详解
https://www.cnblogs.com/hafiz/p/5715523.html

web.xml 参考
https://tomcat.apache.org/tomcat-5.5-doc/appdev/deployment.html

隐藏 Tomcat 版本信息

重打包 Tomcat jar
https://jingyan.baidu.com/article/d2b1d102a9dc955c7e37d487.html
http://blog.51cto.com/chicozy/1878453

unzip catalina.jar
vim org/apache/catalina/util/ServerInfo.properties
#
# server.info=Apache Tomcat
# server.number=0.0.0.0
# server.built=Nov 7 2016 20:05:27 UTC
#
jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties

# restart tomcat

Leave a Reply

Your email address will not be published. Required fields are marked *