小程序部署上去后,用戶反饋說存在注入入侵等風險.反省之,記錄下來
最省事的辦法,直接刪除%tomcatRoot%/webapps下的所有文件夾,僅僅保留自己部署的工程
前提是你不需要監控程序的一些信息或則不需要使用tomcat來發布上傳等一些常用動作。
扯淡完,自然說下常規的做法了。
1.刪除%tomcatRoot%/webapps目錄下的examples、docs文件夾
2.修改%tomcatRoot%/conf/tomcat-users.xml
<?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="manager"/> <user username="draem0507" password="draem0507" roles="manager"/> </tomcat-users>
默認不修改的話 用戶是admin 密碼為空
3.修改%tomcatRoot%/conf/tomcat-users.xml
3.1將Listtings的值設置成false(6.0的版本已經默認設置成false,其他版本的請自行查看哈)
<init-param> <param-name>listings</param-name> <param-value>false</param-value> </init-param>
3.2 增加默認頁面
在文件的倒數第二行開始插入下面代碼
<error-page> <error-code>401</error-code> <location>/401.htm</location> </error-page> <error-page> <error-code>404</error-code> <location>/404.htm</location> </error-page> <error-page> <error-code>500</error-code> <location>/500.htm</location> </error-page>
這里是常規設置,也可以根據需要配置更多異常信息代碼,當然,文件的后綴名也可以是jsp等等
創建好這些文件后方在%tomcatRoot%/webapps/manager下
4.為tomcat目錄創建權限
5.注入入侵說明
4和5 這里不做太多說明
有興趣的朋友可以訪問這里了解更多
http://www.jb51.net/article/19478.htm