tomcat版本:7.0.81
一、點擊劫持漏洞
問題描述:
點擊劫持(ClickJacking)是一種視覺上的欺騙手段。攻擊者使用一個透明的、不可見的iframe,覆蓋在一個網頁上,然后誘使用戶在該網頁上進行操作,此時用戶將在不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置,可以誘使用戶恰好點擊在iframe頁面的一些功能性按鈕上。 HTTP 響應頭信息中的X-Frame-Options,可以指示瀏覽器是否應該加載一個 iframe 中的頁面。
漏洞整改方案:
Tomcat可以配置過濾器解決問題:
打開程序目錄下的web.xml添加以下過濾器:
<filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter </filter-class> <init-param> <param-name>antiClickJackingOption</param-name> <param-value>SAMEORIGIN</param-value> </init-param> <async-supported>true</async-supported> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> <dispatcher>FORWARD</dispatcher> </filter-mapping>
二:安全配置錯誤:Apache tomcat默認文件未刪除
問題描述:
Apache Tomcat的 servlet / JSP容器中安裝有示例JSP和Servlet文件。應該刪除這些文件,因為它們可以幫助 攻擊者發現Tomcat或者遠程主機的安裝信息。而且他們本身可能也存在安全弱點,比如:跨站點腳本問題。
漏洞整改方案:
刪除webapps下與業務系統無關的目錄文件,這一步就可以解決大部分漏洞。