0


Tomcat隐藏版本号和报错信息

漏洞描述

默认错误页、默认索引页、示例JSP和/或示例servlet安装在远程ApacheTomcat服务器上。应该删除这些文件,因为它们可以帮助攻击者发现有关远程Tomcat安装或主机本身的信息。

在日常工作中,经常需要处理这样的漏洞修复,很多同学第一反应就是删除默认引导页,但是再次访问时,同样会暴露tomcat的版本。如下图所示

网络上的解决方法大部分都是

1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar 进入到\org\apache\catalina\util目录下
2、编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等信息
3、改完后自动跳出提示,点击“是”自动更新catalina.jar重新打包。

server.info=Apache Tomcat/8.5.79
改为server.info=Apache Tomcat,如果不想显示Tomcat信息,则可以将其改为server.info= 即可。

其实有更简单的方法可以解决这个问题

具体配置方法为:
在conf/server.xml配置文件中的<Host>配置项中添加如下配置:

<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />

修改后,重启tomcat,访问页面验证如下

至此问题解决!

标签: tomcat servlet java

本文转载自: https://blog.csdn.net/qq_41600824/article/details/129061863
版权归原作者 zcfeng530 所有, 如有侵权,请联系我们删除。

“Tomcat隐藏版本号和报错信息”的评论:

还没有评论