tomcat漏洞扫描,tomcat隐藏版本号,处理ajp漏洞

1. tomcat漏洞

使用tomcat部署应用后,如果应用返回报错没有返回一个错误页面,会使用tomcat自定义的报错页面,这个页面有tomat版本号。可以根据这个版本号获取已经暴露出的漏洞,如ajp漏洞。可以根据版本号进行攻击,获取到tomcat应用webapps部署应用的文件夹下所有信息。所以需要隐藏版本号,并最好把已经暴露的漏洞修复。

2. 隐藏版本号

这里需要修改一个文件,把版本号删除
tomcat根目录下有lib文件夹,此文件夹下保存了tomcat使用的一些jar包,找到catalina.jartomcat漏洞扫描,tomcat隐藏版本号,处理ajp漏洞
解压进入org/apache/catalina/util,编辑配置文件ServerInfo.properties
里面有两个参数
server.info=Apache Tomcat
server.number=8.5.8.0

把server.num后面信息删除即可,之后报错只能显示Apache Tomcat,获取不到版本号了

3. 修复ajp漏洞

参考:https://www.freebuf.com/column/227973.html
ajp漏洞(AJP请求注入和潜在的远程代码执行 )影响版本
tomcat7: < 7.0.100
tomcat8: < 8.5.51
tomcat9: < 9.0.31

  1. 修复方式1:
    禁用AJP协议端口:在conf/server.xml配置文件中注释掉117行的<Connector port=“8009” protocol="AJP/1.3"redirectPort=“8443” /> ,然后重启服务器。前提是tomcat不适用ajp服务
  2. 如果需要使用ajp服务,配置ajp配置中的secretRequired跟secret属性来限制认证
必须将 requiredSecret更改为一个安全性高、无法被轻易猜解的值(自行填写)
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" requiredSecret="YOUR_TOMCAT_AJP_SECRET">
  1. 下载补丁
    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://github.com/apache/tomcat/releases
    或者请随时关注如下链接进行更新
    https://tomcat.apache.org/download-70.cgi
    https://tomcat.apache.org/download-80.cgi
    https://tomcat.apache.org/download-90.cgi
上一篇:kibana7.14.0报错解决方案


下一篇:AJP:精神分裂症神经影像标志物