Tomcat企业管理系统定制开发服务在响应404/500企业管理系统定制开发等网络错误时,默认会将当前版本信息显示出来,这样就造成了中间件版本信息泄露这样的漏洞
解决方案:
-
进入Tomcat下的lib目录,备份catalina.jar文件后,解压该文件
cp catalina.jar catalina.jar.bak
unzip catalina.jar
-
解压后,通过修改解压出来的ServerInfo.properties文件(在/org/apache/catalina/util/下)
vim org//catalina/util/ServerInfo.properties
-
去除ServerInfo.文件的版本信息
server.info=ApacheTomcat
server.number=0.0.0.0
server.built=Nov 72016 20:05:27 UTC
-
将修改后的文件压缩回catalina.jar包中
jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties
-
重启Tomcat服务,访问不存在的页面进行404报错验证,看是否还显示中间件版本号
【注意】
以上操作仅去除Tomcat服务报错信息中的版本信息,如果是正式环境,建议使用自定义错误页面替换默认页面的做法
-
进入Tomcat的conf目录,修改web.xml,在标签前添加如下内容
404 /error_404.html -
进入Tomcat的webapps/ROOT目录,新增error_404.html页面,使用自定义页面已达到隐藏中间件版本信息的目的