檢測到的漏洞修復方式一般分為兩種:修改配置文件、升級組件規避漏洞,一般緊急規避是選擇前一種方式。
1.tomcat隱藏版本信息
a. cd /usr/tomcat9/lib/
cp catalina.jar /usr/tomcat9/lib/catalina.jar.bk,將該文件拷貝並重命名為catalina.jar.bak作為備份
b. jar xf catalina.jar解壓catalina.jar包,cd org/apache/catalina/util/,修改為
c.cd /usr/tomcat9/lib/
jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties.壓縮修改后的catalina.jar包
cd /usr/tomcat9/bin/
FastGateServer.sh restart
./version.sh查看是否已經修改成功
2.替換錯誤頁面
a.vi /usr/tomcat9/webapps/host-manager/WEB-INF/web.xml
b.在<error-page>下指定的error-code指定一個固定的.jsp文件,.jsp文件自定義放在
某個路徑下即可
(操作見鏈接:https://blog.csdn.net/JustinQin/article/details/78879185)
3.修改http響應頭(使其不使用X-XSS-Protection、X-Frame-Options、X-Content-Options:nosniff)
a.vi tomcat/conf/web.xml
b.增加如下配置:
<filter>
<filter-name>httpHeaderSecurity</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>antiClickJackingOption</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
<async-supported>true</async-supported>
</filter>
<filter-mapping>
<filter-name>httpHeaderSecurity</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
c.重啟服務。再次F12查看請求頭就可以看到請求頭對這三個漏洞已經做了限制
總結:
X-XSS-Protection <===>設置X-XSS-Protection:1; mode=block
X-Frame-Options <===> 設置X-Frame-Options:SAMEORIGIN
X-Content-Options:nosniff <===>設置X-Content-Type-Options:nosniff