Tomcat默认界面可导致版本信息泄露+管理后台爆破
2018-05-16 17:08
816 查看
由于配置的Tomcat时,管理页面未进行删除或者权限角色配置,攻击者可以通过暴力猜解进入到管理后台,从而上传获取shell。
Tomcat的默认工具manager配置,在很多的生产环境中由于基本用不到、或者是不太需要使用Tomcat默认的manager管理页面时一般都会把Tomcat的默认webapp下的内容给删除了,但是如果需要使用Tomcat默认的manager来管理项目时就需要保留相应的文件目录。在Tomcat中的webapps中有如下目录:docs(Tomcat本地说明文档)、examples(Tomcat相关的deamon示例)、host-manager(主机头管理工具)、manager(项目管理工具)、ROOT(Tomcat默认页),其中需要保留的是host-manager、manager、ROOT这3个目录而从Tomcat 6开始为了安全缺省条件下Tomcat的host-manager、manager是不能访问的(http 401拒绝),如需访问需要分配相关的角色权限。加强口令强度,杜绝弱口令。
还需要做如下修改:
1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar 进入到\org\apache\catalina\util目录下
2、编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等信息
3、改完后自动跳出提示,点击“是”自动更新catalina.jar重新打包。
相关文章推荐
- 解决tomcat能正常运行, 能进入管理界面, 但无法进入默认界面的问题!
- 【学生信息管理系统】系统的界面与后台
- Unity同时充当移动端和后台的界面+Sevelet+Mysql+Tomcat 学生信息的录入
- servlet,jsp,tomcat,jdk对应版本关系,如何查看jsp和servlet版本信息
- 常见magento的问题系列一--第一次进入后台分类管理 和 Manage Store 界面时 发生的错误
- 用svn管理软件版本信息
- 后台管理界面自己写,模仿,更新中...
- Linux下查看tomcat的版本信息
- 基于吉日嘎底层架构的通用权限管理Web端UI更新:参考DTcms后台界面
- solr--3.后台管理界面介绍
- 基于jsp+servlet图书管理系统之后台用户信息查询操作
- iPhone默认口令可能导致用户信息泄露!
- Django之表单字段的选填与后台界面的管理
- 默认口令可能导致 iPhone 用户信息泄露! 推荐
- Solr(七)----Solr后台管理界面Query查询
- EasyUI+MVC4实现后台管理系统一:登陆和进入后台界面
- windows查看tomcat版本信息
- 25 个精美的后台管理界面模板和布局
- 设置Tomcat默认界面