web應用安全基線-tomcat安全配置
Title:Linux-tomcat安全配置前端
tomcat 測試版本:tomcat7,tomcat8nginx
0x00 刪除默認目錄web
tomcat部署完畢,刪除 $CATALINA_HOME/webapps下默認的所有目錄文件apache
eg: rm -rf /opt/tomcat8/webapps/*tomcat
相關案例:Apache-tomcat樣例目錄存在漏洞安全
0x01 隱藏tomcat版本信息服務器
修改 $CATALINA_HOME/conf/server.xml, 關注Connector節點的server字段cookie
/opt/tomcat7_x/lib/org/apache/catalina/util/ServerInfo.properties,刪除敏感信息便可;app
0x02 用戶管理webapp
/opt/tomcat7_xxx/conf/tomcat-users.xml 下,屏蔽或刪除用戶權限相關配置
0x03 自動部署關閉
/opt/tomcat7_xxx/conf/server.xml 下,unpackWARS="false" autoDeploy="false"
0x04 自定義錯誤頁面
/opt/tomcat7_xxx/conf/web.xml 下,根據須要自定義404,500等error頁面
0x05 禁止列目錄
/opt/tomcat7_xxx/conf/web.xml 下,設置以下參數。高版本(tomcat7及以上默認禁止)
0x06 服務權限控制
tomcat服務原則上以非root用戶啓動,應用部署目錄權限和tomcat服務啓動用戶分離。
0x07 AJP端口管理
AJP是爲tomcat與HTTP服務器之間通訊而定製的協議,可以提供較高的通訊速度和效率。若是tomcat前端放的是apache,會用到AJP鏈接器。前端若是是由nginx作反向代理則能夠不適用此鏈接器,此時須要註銷掉該鏈接器。
0x08 啓用cookie的HttpOnly屬性
啓用HttoOnly屬性的依據:將cookie設置成HttpOnly是爲了防止XSS攻擊,竊取cookie內容,增長cookie的安全性。
文章歸檔:http://secscorpio.top/?p=42
- 1. web應用安全基線-nginx安全配置
- 2. web應用安全基線-memcached安全配置
- 3. Tomcat 安全配置
- 4. tomcat安全配置
- 5. TOMCAT安全配置
- 6. Tomcat安全配置
- 7. windwos 安全基線配置
- 8. Web應用安全
- 9. 應用安全-Web安全-注入篇
- 10. tomcat安全配置 day02
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • Git 安裝配置 - Git 教程
- • Tomcat學習筆記(史上最全tomcat學習筆記)
- • Composer 安裝與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 安裝cuda+cuDNN
- 2. GitHub的使用說明
- 3. phpDocumentor使用教程【安裝PHPDocumentor】
- 4. yarn run build報錯Component is not found in path 「npm/taro-ui/dist/weapp/components/rate/index「
- 5. 精講Haproxy搭建Web集羣
- 6. 安全測試基礎之MySQL
- 7. C/C++編程筆記:C語言中的複雜聲明分析,用實例帶你完全讀懂
- 8. Python3教程(1)----搭建Python環境
- 9. 李宏毅機器學習課程筆記2:Classification、Logistic Regression、Brief Introduction of Deep Learning
- 10. 阿里雲ECS配置速記
- 1. web應用安全基線-nginx安全配置
- 2. web應用安全基線-memcached安全配置
- 3. Tomcat 安全配置
- 4. tomcat安全配置
- 5. TOMCAT安全配置
- 6. Tomcat安全配置
- 7. windwos 安全基線配置
- 8. Web應用安全
- 9. 應用安全-Web安全-注入篇
- 10. tomcat安全配置 day02