Tomcat服务器配置及安全应用指南.pptx

Tomcat服务器配置及安全应用指南技术创新变革未来

Tomcat服务安全加固默认安装Tomcat自带启用了管理后台功能，该后台可直接上传war对站点进行部署和管理，通常由于运维人员的疏忽，导致管理后台空口令或者弱口令的产生，使得黑客或者不法分子利用该漏洞直接上传WEBSHELL导致服务器沦陷。通常访问Tomcat后台管理地址为:http://iP:8080/manager/html/,具体如下图所示：漏洞危害：通过猜解到的口令等Tomcat管理后台后，可以上传webshell导致服务器被入侵。

Tomcat服务安全加固

修复方案：由于此类型漏洞对业务系统造成比较严重的危害，建议针对tomcat管理后台作如下整改：1.网络访问控制如果您的业务不需要使用tomcat管理后台管理业务代码，建议您使用安全组防火墙或直接将部署tomcat目录下webapps下的manager、host-manager文件夹全部删除；注释Tomcat目录下conf下的tomcat-users.xml中的所有代码，如下：若业务系统需要使用tomcat管理后台进行业务代码发布和管理，建议为Tomcat管理后台配置强口令，修改默认admin用户，且密码长度不低于10位，必须包含大写字母、特殊符号、数字组合。

Tomcat服务安全加固

修复方案：开启Tomcat的访问日志

Tomcat服务安全加固

修复方案：Tomcat默认帐号安全

Tomcat服务安全加固

修复方案：修改默认访问端口

Tomcat服务安全加固

修复方案：重定向错误页面修改访问tomcat错误页面的返回信息，conf/web.xml在倒数第1行之前加然后在webapps\manger目录中创建相应的401.html\404.htm\500.htm文件

Tomcat服务安全加固

禁止列目录防止直接访问目录时由于找不到默认页面而列出目录下的文件

Tomcat服务安全加固

删除文档和示例程序删除webapps/docs、examples、manager、ROOT、host-manager。

Web应用服务器加固思路

Web应用服务器加固思路

Web安全分为两大类：????·Web服务器的安全性(Web服务器本身安全和软件配置)。?????·Web应用程序的安全性(在Web服务器上运行的Java、ActiveX、PHP、ASP代码的安全)。Web服务器面临的攻击?????Web服务器攻击利用Web服务器软件和配置中常见的漏洞。这些漏洞包括：?????·缓冲区溢出?????·文件目录遍历?????·脚本权限?????·文件目录浏览?????·Web服务器软件默认安装的示例代码?????·Web服务器上运行的其他软件中的漏洞，例如SQL数据库软件让我们对上诉漏洞依个进行深入地探讨。

Web应用服务器加固思路

缓冲区溢出?????缓冲区溢出允许恶意代码注入到应用程序，它损坏应用程序的堆栈——内存中存储应用程序代码的一个地方——并用不同的代码代替原始代码的一部分来实现攻击者的目的，例如运行特洛伊木马程序或远程控制应用程序。以下是缓冲区溢出漏洞的一个简单示例代码，使用C语言编写：?????charaTmp[100];?????scanf(%s,aTmp);?????在第一行中，程序员声明一个长度为100的数组aTmp。在第二行中，scanf方法从控制台读取数据存到aTmp数组。代码不会检查%s变量是否能够容纳输入数据的大小。因为程序员编码过程不对输入字符串的大小进行检查，如果给定的输入超过100个字符，就会造成缓冲区溢出。一个精心构造构的输入中可能包含汇编代码，这部分汇编代码能够获得源程序一样的运行权限。

Web应用服务器加固思路

目录遍历?????目录遍历是指访问到了不是原先设想或允许的目录(或文件夹)。例如，微软IISWeb站点的默认文件夹为C:\inetpub，攻击者可使用的目录遍历漏洞，在该文件夹之外去读取他们本不该访问的文件。详细来说，假如有一个网址为“”的网站，其服务器代码中包含目录遍历漏洞。攻击者通过输入以下URL就可以利用该漏洞：?????/../autoexec.bat?????URL中的“.../”告诉服务器上溯一个目录，也就是“C:\”目录(Web服务器可以将斜杠转换为反斜杠)。所以如果IIS服务器默认目录为“c:\inetpub”，那么该URL会转到“C:\”目录，攻击者将能够看到“c:\autoexec.bat”文件。除非将服务器配置好了避免目录遍历，不然所有目录可能都是可访问的。这种情况下，Web服务器将显示“autoexec.bat”