问题:tomcat漏洞:可通过http获取远端www服务信息
我的解答思路:在网上查找方法,隐藏tomcat版本,修改server.xml文件的server配置,重新扫描后还是显示这个漏洞
希望解答一下
通过http获取服务器信息,这也不算漏洞吧?一般企业开发中不会直接将tomcat对外开放,会在所有的应用层加网关,在网关处把这个拦截下来就可以了。
不知道你这个问题是否已经解决, 如果还没有解决的话:tomcat可以自动部署Web应用,具体在哪里配置的呢?
我们需要配置Host组件的deployOnStartup或者autoDeploy属性。如果deployOnStartup或者autoDeploy设置为true,则tomcat启动自动部署:当检测到新的Web应用或Web应用的更新时,会触发应用的部署或重新部署。二者的主要区别在于,deployOnStartup为true时,Tomcat在启动时检查Web应用,且检测到的所有Web应用视作新应用;autoDeploy为true时,Tomcat在运行时定期检查新的Web应用或Web应用的更新。除此之外,二者的处理相似。
另外,还需要配置自动部署检查的目录,可以通过Host标签的appBase和xmlBase属性配置。appBase属性指定Web应用所在的目录,默认值是“webapps”,这是一个相对路径,代表Tomcat根目录下webapps文件夹。
xmlBase属性则是指定Web应用的XML配置文件所在的目录,默认值为conf/< engine_name>/< host_name>,例如第一部分的例子中,主机localhost的xmlBase的默认值是$TOMCAT_HOME/conf/Catalina/localhost。
一个Web应用可能包括以下文件:XML配置文件,WAR包,以及一个应用目录(该目录包含Web应用的文件结构);其中XML配置文件位于xmlBase指定的目录,WAR包和应用目录位于appBase指定的目录。
Tomcat按照如下的顺序进行扫描,来检查应用更新: