web服务器:apache-tomcat-8.0.24-windows-x64php
测试工具:Acunetix Web Vulnerability Scanner 9.5 html
从官网下载原版apache-tomcat-8.0.24-windows-x64.zip,解压以后,直接开始测试。测试结果以下图所示:web
漏洞看起来真的不少啊,不要被吓着哦。apache
一、删除webapps目录中的docs、examples、host-manager、manager等正式环境用不着的目录,这一步就能够解决大部分漏洞windows
二、去掉webapps\ROOT中不须要目录和文件tomcat
三、解决掉“Slow HTTP Denial of Service Attack“漏洞安全
Slow HTTP Denial of Service Attack漏洞是利用HTTP POST的时候,指定一个很是大的content-length,而后以很低的速度发包,好比10-100s发一个字节,让这个链接不断开。这样当客户端链接多了后,占用了webserver的全部可用链接,从而致使DOS,属于一种拒绝服务攻击。
解决办法:服务器
打开server.xml找到app
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />webapp
将其中的connectionTimeout="20000"改成connectionTimeout="8000",其单位是毫秒。
四、解决“Clickjacking: X-Frame-Options header missing”漏洞
“Clickjacking(点击劫持)是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼在2008年提出的。是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的状况下,点击攻击者想要欺骗用户点击的位置。”
咱们能够经过配置过滤器来解决。
首先,将ClickjackFilter.jar添加到lib目录下。
而后,打开webapps\ROOT\WEB-INF\web.xml添加如下过滤器:
<filter> <filter-name>ClickjackFilterDeny</filter-name> <filter-class>org.owasp.filters.ClickjackFilter</filter-class> <init-param> <param-name>mode</param-name> <param-value>DENY</param-value> </init-param> </filter> <filter-mapping> <filter-name>ClickjackFilterDeny</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
重启Tomcat,复测结果以下:
、
随着企业越来重视信息系统安全性,建议不要直接使用官网下载的tomcat,尽可能多进行测试,解决web应用漏洞,升应用安全性。
本文所用到的过滤器源代码及最终的tomcat已经分享到百度云盘,感兴趣的同窗能够下载。
http://yunpan.cn/cdq8FvWyvDpjB 访问密码 1f4c
一、https://www.owasp.org/index.php/Clickjacking_Protection_for_Java_EE
二、http://www.cnblogs.com/xuanhun/p/3610981.html
三、http://www.cnblogs.com/xuanhun/p/3610981.html