tomcat安全设置

小程序部署上去后,用户反馈说存在注入入侵等风险.反省之,记录下来

最省事的办法,直接删除%tomcatRoot%/webapps下的所有文件夹,仅仅保留自己部署的工程

前提是你不需要监控程序的一些信息或则不需要使用tomcat来发布上传等一些常用动作。

扯淡完,自然说下常规的做法了。

1.删除%tomcatRoot%/webapps目录下的examples、docs文件夹

2.修改%tomcatRoot%/conf/tomcat-users.xml

<?xml version='1.0' encoding='utf-8'?><tomcat-users>  <role rolename="manager"/>  <user username="draem0507" password="draem0507" roles="manager"/></tomcat-users>

默认不修改的话 用户是admin 密码为空

3.修改%tomcatRoot%/conf/tomcat-users.xml

3.1将Listtings的值设置成false(6.0的版本已经默认设置成false,其他版本的请自行查看哈)

 <init-param>            <param-name>listings</param-name>            <param-value>false</param-value>        </init-param>

3.2 增加默认页面

在文件的倒数第二行开始插入下面代码

<error-page> <error-code>401</error-code> <location>/401.htm</location> </error-page> <error-page> <error-code>404</error-code> <location>/404.htm</location> </error-page> <error-page> <error-code>500</error-code> <location>/500.htm</location> </error-page> 

这里是常规设置,也可以根据需要配置更多异常信息代码,当然,文件的后缀名也可以是jsp等等

创建好这些文件后方在%tomcatRoot%/webapps/manager下

4.为tomcat目录创建权限

5.注入入侵说明

4和5 这里不做太多说明

有兴趣的朋友可以访问这里了解更多

http://www.jb51.net/article/19478.htm