由於配置的Tomcat時,管理頁面未進行刪除或者權限角色配置,攻擊者可以通過暴力猜解進入到管理后台,從而上傳獲取shell。
Tomcat的默認工具manager配置,在很多的生產環境中由於基本用不到、或者是不太需要使用Tomcat默認的manager管理頁面時一般都會把Tomcat的默認webapp下的內容給刪除了,但是如果需要使用Tomcat默認的manager來管理項目時就需要保留相應的文件目錄。在Tomcat中的webapps中有如下目錄:docs(Tomcat本地說明文檔)、examples(Tomcat相關的deamon示例)、host-manager(主機頭管理工具)、manager(項目管理工具)、ROOT(Tomcat默認頁),其中需要保留的是host-manager、manager、ROOT這3個目錄而從Tomcat 6開始為了安全缺省條件下Tomcat的host-manager、manager是不能訪問的(http 401拒絕),如需訪問需要分配相關的角色權限。加強口令強度,杜絕弱口令。
還需要做如下修改:
1、進入到tomcat/lib目錄下,用電腦自帶解壓軟件打開catalina.jar 進入到\org\apache\catalina\util目錄下
2、編輯ServerInfo.properties文件,編輯最后三行,去掉版本號等信息
3、改完后自動跳出提示,點擊“是”自動更新catalina.jar重新打包。