前言:最近有客戶使用burp suite掃描出了一些安全問題,涉及到tomcat的配置一臉懵逼,搜到的文章也不太靠譜,記錄此文希望對大家有幫助。
一、確認Tomcat版本
本文針對tomcat8,其他版本不保證是否可行,需要先確認版本是否OK。
cmd進入tomcat/bin,執行命令查看版本:catalina version,如下圖所示版本號為8.5.23
二、配置https
1、生成密鑰
cmd中輸入(其中您的名字與姓氏是什么?需要填入主機域名,如本機測試可以寫localhost):
keytool -genkey -alias tomcat -keyalg RSA -keystore D:\keystore 輸入密鑰庫口令:cnblogs 再次輸入新口令:cnblogs 您的名字與姓氏是什么? [Unknown]: cnblogs 您的組織單位名稱是什么? [Unknown]: cnblogs 您的組織名稱是什么? [Unknown]: cnblogs 您所在的城市或區域名稱是什么? [Unknown]: beijing 您所在的省/市/自治區名稱是什么? [Unknown]: beijing 該單位的雙字母國家/地區代碼是什么? [Unknown]: cn CN=cnblogs, OU=cnblogs, O=cnblogs, L=beijing, ST=beijing, C=cn是否正確? [否]: y 輸入 <tomcat> 的密鑰口令 (如果和密鑰庫口令相同, 按回車):
2、將生成的keystore放進tomcat的根目錄
3、修改tomcat/conf/server.xml文件:
搜索到“8443”,找到如下內容:
修改如下,keystorePass為第一步輸入的密鑰口令
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="D:\cnblogs\tomcat\keystore" keystorePass="cnblogs" />
4、修改tomcat/webapps/projectName/WEB-INF/web.xml,在標簽web-app中添加如下內容:
<security-constraint> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
三、安全配置
如上配置后,用burpsuite掃描會報兩個漏洞:
1、SSL cookie without secure flag set
修改tomcat/conf/web.xml文件,在標簽session-config下添加:
<session-config> <session-timeout>0</session-timeout> <cookie-config> <http-only>true</http-only> <secure>true</secure> </cookie-config> </session-config>
2、Strict transport security not enforced
修改tomcat/conf/web.xml文件,在標簽web-app中添加:
<filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <init-param> <param-name>hstsEnabled</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>hstsMaxAgeSeconds</param-name> <param-value>31536000</param-value> </init-param> <init-param> <param-name>antiClickJackingOption</param-name> <param-value>SAMEORIGIN</param-value> </init-param> <async-supported>true</async-supported> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
3、配置check,重啟后,訪問之前的http端口,可以看到返回302重定向從8085端口到8443端口(HSTS要求強制轉換為https),且Set-Cookie中有了Secure和HttpOnly
重定向后https請求可以看到有了Strict-Transport-Security消息頭
