漏洞修复:web应用服务器版本信息泄露 方案一:建立错误机制,不要把真实的错误反馈给访问者方案二:Tomcat服务器隐藏版本信息
Web服务器未能正确处理异常请求导致Web服务器版本信息泄露,攻击者收集到服务器信息后可进行进一步针对性攻击。
可以通过在web.xml添加对相应的错误页面:
<!-- 默认的错误处理页面 --><error-page><error-code>403</error-code><location>/errors/403.html</location></error-page><error-page><error-code>404</error-code><location>/errors/404.html</location></error-page><error-page><error-code>500</error-code><location>/errors/500.html</location></error-page> <!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <title>404</title></head><body> 页面迷路咯</body></html>效果:
版本信息配置在安装目录lib下,名称为 catalina.jar,修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 字段来隐藏tomcat的版本信息
# server.info=Apache Tomcat/7.0.63server.info=Tomcatserver.number=7.0.63.0server.built=Jun 30 2015 08:08:33 UTC效果:
修改Tomcat版本信息后,Idea配置检查通不过,启动会报异常: