官方Tomcat 8.0.24 Web漏洞整改記錄

測試環境

web服務器：apache-tomcat-8.0.24-windows-x64

測試工具：Acunetix Web Vulnerability Scanner 9.5 

官方Tomcat測試結果

從官網下載原版apache-tomcat-8.0.24-windows-x64.zip，解壓以後，直接開始測試。測試結果以下圖所示：

漏洞看起來真的不少啊，不要被嚇着哦。

漏洞整改

一、刪除webapps目錄中的docs、examples、host-manager、manager等正式環境用不着的目錄，這一步就能夠解決大部分漏洞

二、去掉webapps\ROOT中不須要目錄和文件

三、解決掉「Slow HTTP Denial of Service Attack「漏洞

Slow HTTP Denial of Service Attack漏洞是利用HTTP POST的時候，指定一個很是大的content-length，而後以很低的速度發包，好比10-100s發一個字節，讓這個鏈接不斷開。這樣當客戶端鏈接多了後，佔用了webserver的全部可用鏈接，從而致使DOS，屬於一種拒絕服務攻擊。
解決辦法：

打開server.xml找到

<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />

將其中的connectionTimeout="20000"改成connectionTimeout="8000"，其單位是毫秒。

四、解決「Clickjacking: X-Frame-Options header missing」漏洞

「Clickjacking（點擊劫持）是由互聯網安全專家羅伯特·漢森和耶利米·格勞斯曼在2008年提出的。是一種視覺欺騙手段，在web端就是iframe嵌套一個透明不可見的頁面，讓用戶在不知情的狀況下，點擊攻擊者想要欺騙用戶點擊的位置。」

咱們能夠經過配置過濾器來解決。

首先，將ClickjackFilter.jar添加到lib目錄下。

而後，打開webapps\ROOT\WEB-INF\web.xml添加如下過濾器：

  <filter>
    <filter-name>ClickjackFilterDeny</filter-name>
    <filter-class>org.owasp.filters.ClickjackFilter</filter-class>
      <init-param>
        <param-name>mode</param-name>
          <param-value>DENY</param-value>
      </init-param>
  </filter>
  <filter-mapping> 
    <filter-name>ClickjackFilterDeny</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

 

複測結果

 重啓Tomcat，複測結果以下：

、

後記

隨着企業越來重視信息系統安全性，建議不要直接使用官網下載的tomcat，儘可能多進行測試，解決web應用漏洞，升應用安全性。

本文所用到的過濾器源代碼及最終的tomcat已經分享到百度雲盤，感興趣的同窗能夠下載。

http://yunpan.cn/cdq8FvWyvDpjB  訪問密碼 1f4c

參考資料

一、https://www.owasp.org/index.php/Clickjacking_Protection_for_Java_EE

二、http://www.cnblogs.com/xuanhun/p/3610981.html

三、http://www.cnblogs.com/xuanhun/p/3610981.html