Tomcat 漏洞修复建议

高危 Tomcat 进程运行权限检测访问控制 | 访问控制

描述
在运行Internet服务时,最好尽可能避免使用root用户运行,降低攻击者拿到服务器控制权限的机会。

加固建议
创建低权限的账号运行Tomcat,操作步骤如下:

?--新增tomcat用户
useradd tomcat
--将tomcat目录owner改为tomcat
chown -R tomcat:tomcat /opt/tomcat
-- 停止原来的tomcat服务
--切换到tomcat用户
su - tomcat
--重新启动tomcat
/opt/tomcat/bin/startup.sh

中危 禁止显示异常调试信息 | 服务配置

描述
当请求处理期间发生运行时错误时,ApacheTomcat将向请求者显示调试信息。建议不要向请求者提供此类调试信息。

加固建议
在Tomcat根目录下的conf/web.xml文件里面的web-app添加子节点:java.lang.Throwable/error.jsp,在webapps目录下创建error.jsp,定义自定义错误信息

总结:
先把 Tomcat 更新至最新版本,在最新版本的基础上修复漏洞。

Tomcat 漏洞修复建议相关推荐

  1. Web常见漏洞修复建议

    一.SQL注入修复建议 1.过滤危险字符,例如:采用正则表达式匹配union.sleep.and.select.load_file等关键字,如果匹配到则终止运行. 2.使用预编译语句,使用PDO需要注 ...

  2. Web安全原理剖析(十八)——XSS平台及漏洞修复建议

    目录 5.2 使用XSS平台测试XSS漏洞 5.3 XSS漏洞修复建议 5.2 使用XSS平台测试XSS漏洞   XSS平台可自行本地搭建或使用在线平台.   首先在XSS平台注册账号并登录,单击&q ...

  3. Tomcat漏洞修复方法【补丁下载及安装详细流程】

    目录 访问tomcat的官网漏洞补丁网址 会看到各个版本的tomcat的漏洞修复记录及方法 例如 搜索CVE-2016-6797漏洞的补丁 点击revision后的序列号 进入补丁修复界面,进来之后, ...

  4. 运维常见服务安全漏洞修复建议

    文章目录 常见运维漏洞 漏洞☞ Zabbix zabbix漏洞的危害 漏洞☞ Rsync (配置不当引发的问题) rsync 介绍 配置参数介绍 漏洞扫描 简易版本rsync脚本扫描 修复建议 漏洞☞ ...

  5. 常用的安全漏洞修复建议

    SQL注入 漏洞描述 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在W ...

  6. web常用的漏洞修复建议

    Web应用漏洞原理 Web应用攻击是攻击者通过浏览器或攻击工具,在URL或者其它输入区域(如表单等),向Web服务器发送特殊请求,从中发现Web应用程序存在的漏洞,从而进一步操纵和控制网站,查看.修改 ...

  7. 记一次tomcat漏洞修复补丁升级

    tomcat有安全漏洞,现在用的版本是tomcat8.5.3. 其中有一个漏洞描述是这样子的:Apache Tomcat Security Manager 安全限制绕过漏洞(CVE-2016-5018 ...

  8. 常见web安全漏洞及修复建议

    文章目录 常见WEB漏洞 高危漏洞 SQL Injection(SQL注入攻击) 漏洞描述 修复建议 Cross-site scripting(跨站脚本攻击,简称XSS) 漏洞描述 修复建议 Brok ...

  9. 网站安全检测 漏洞检测 对thinkphp通杀漏洞利用与修复建议

    thinkphp在国内来说,很多站长以及平台都在使用这套开源的系统来建站,为什么会这么深受大家的喜欢,第一开源,便捷,高效,生成静态化html,第二框架性的易于开发php架构,很多第三方的插件以及第三 ...

  10. 网站漏洞修复网站安全检测整体解决方案

    在很多网站系统构建的一开始,最注重的就是网站程序代码的安全,我们SINE安全对甲方网站公司部署过很多的网站安全系统,之前有一些网站设计公司对于每个项目都会由专人去负责开发与设计,并与甲方网站公司进行沟 ...

最新文章

  1. 第九次作业-测试报告和用户使用手册
  2. 《梦断代码》读后感一
  3. 页面文件太小无法完成操作_手机上也能轻松完成文件压缩操作,无需软件,可惜知道的人才10%...
  4. 关于阿里基础设施,你要知道的都在这里
  5. Spring - Spring Boot Spring Cloud
  6. POJ3096Surprising Strings(map)
  7. 绒毛动物探测器:通过TensorFlow.js中的迁移学习识别浏览器中的自定义对象
  8. db2 c语言,DB2数据库安全(二)——身份认证
  9. Qt与云服务器项目,qt 云服务器
  10. oracle 设置 锁模式,oracle表锁的几种模式v$locked_object-locked_mode
  11. 毕业设计成品价格_一套毕业设计多少钱
  12. Fatal error in launcher解决方法
  13. iReport简单使用
  14. python古诗代码案例_一行代码竟然如此逆天?小码王python案例首次对外展现!
  15. Hello 中国,Go官网回归中国
  16. 第二课:为什么要教授财务知识
  17. 安科瑞变电所运维云平台AcrelCloud-1000实时监测
  18. 解决提交到github报错Please tell me who you are.和为不同的项目设置不同的名称
  19. 人员管理页面html,钉钉网页版登录入口,HR全模块功能进行员工管理
  20. 如何在MySQL官网查看最新版本信息

热门文章

  1. 【Latex】将TIF文件转换成EPS文件
  2. Outlook设置规则的一点提示
  3. Linux下抓取log的方法
  4. Windows下获取本地IP地址的两种方法
  5. 给交换机console接口设置密码
  6. c语言pointer,C语言讲义——指针(pointer)
  7. StrokeIt-单手摸鱼的快乐你想象不到
  8. NCA(Neighborhood Components Analysis)
  9. 合唱队形——线性dp
  10. 电子商务设计师教程 电子版_电子商务电子商务| 第1部分