tomcat漏洞扫描,tomcat隐藏版本号,处理ajp漏洞
作者:互联网
1. tomcat漏洞
使用tomcat部署应用后,如果应用返回报错没有返回一个错误页面,会使用tomcat自定义的报错页面,这个页面有tomat版本号。可以根据这个版本号获取已经暴露出的漏洞,如ajp漏洞。可以根据版本号进行攻击,获取到tomcat应用webapps部署应用的文件夹下所有信息。所以需要隐藏版本号,并最好把已经暴露的漏洞修复。
2. 隐藏版本号
这里需要修改一个文件,把版本号删除
tomcat根目录下有lib文件夹,此文件夹下保存了tomcat使用的一些jar包,找到catalina.jar
解压进入org/apache/catalina/util,编辑配置文件ServerInfo.properties
里面有两个参数
server.info=Apache Tomcat
server.number=8.5.8.0
把server.num后面信息删除即可,之后报错只能显示Apache Tomcat,获取不到版本号了
3. 修复ajp漏洞
参考:https://www.freebuf.com/column/227973.html
ajp漏洞(AJP请求注入和潜在的远程代码执行 )影响版本
tomcat7: < 7.0.100
tomcat8: < 8.5.51
tomcat9: < 9.0.31
- 修复方式1:
禁用AJP协议端口:在conf/server.xml配置文件中注释掉117行的<Connector port=“8009” protocol="AJP/1.3"redirectPort=“8443” /> ,然后重启服务器。前提是tomcat不适用ajp服务 - 如果需要使用ajp服务,配置ajp配置中的secretRequired跟secret属性来限制认证
必须将 requiredSecret更改为一个安全性高、无法被轻易猜解的值(自行填写)
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" requiredSecret="YOUR_TOMCAT_AJP_SECRET">
- 下载补丁
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/tomcat/releases
或者请随时关注如下链接进行更新
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi
标签:tomcat,版本号,ajp,漏洞,https,apache 来源: https://blog.csdn.net/qq_35456400/article/details/115065704