欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

Tomcat常见漏洞

程序员文章站 2022-05-09 10:06:53
...

一、The remote web server contains default files.

# tomcat默认404页面会暴露tomcat版本号
# 添加默认页面
# vi 编辑tomcat下的conf/web.xml,末尾添加

……
# 程序默认访问页-可不加
    <welcome-file-list>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>
# 默认错误页面
<error-page> 
    <error-code>404</error-code> 
    <location>/error_page.html</location> 
</error-page>
</web-app>

# 保存后创建error_page.html放到tomcat下webapps/ROOT/  目录下
<html lang="en">
 <head>
  <title>error</title>
 </head>
 <body>
  <p>error page</p>
 </body>
</html>

二、The remote Apache Tomcat server is affected by a vulnerability

根据描述升级tomcat版本即可

三、The remote service encrypts traffic using an older version of TLS.

# 取消对TLS1.0的支持,TLS1.0已经被淘汰了
# 编辑tomcat中的server.xml文件

# 原来
SSLProtocol="TLSv1.2+TLSv1+TLSv1.1"
# 或者
SSLProtocol="TLS"
# 改成
SSLProtocol="TLSv1.2+TLSv1.1"

四、The SSL certificate chain for this service ends in an unrecognized self-signed certificate.

自签发的证书都有这个问题,如果是域名服务器这些,可以在阿里云或相关云厂商哪里申请免费证书

五、The SSL certificate for this service cannot be trusted. 同上

六、The remote SSH server is configured to allow weak encryption algorithms or no algorithm at all.

# Linux服务器使用了不推荐的算法
# RFC 4253 advises against using Arcfour due to an issue with weak keys.
# 一般是没有配置算法或者算法中配置了Arcfour
# ssh_config和sshd_config都是ssh服务器的配置文件,二者区别在于,前者是针对客户端的配置文件,后者则是针对服务端的配置文件。
# vi 编辑/etc/ssh/sshd_config,最下面添加
Ciphersaes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,[email protected]

# 保存后重启服务
service sshd restart
# 或者
service ssh restart

# 验证
ssh -vv -oCiphers=aes128-cbc,3des-cbc,blowfish-cbc <server>
ssh -vv -oMACs=hmac-md5 <server>

# 使用nmap验证
nmap --script "ssh2*" 45.76.186.62

后续遇见再继续补充