原文地址:http://drops.wooyun.org/%e8%bf%90%e7%bb%b4%e5%ae%89%e5%85%a8/15888

0x00 刪除默認目錄

安裝完tomcat后，刪除$CATALINA_HOME/webapps下默認的所有目錄文件

#!bash
rm -rf /srv/apache-tomcat/webapps/*

0x01 用戶管理

如果不需要通過web部署應用，建議注釋或刪除tomcat-users.xml下用戶權限相關配置

0x02 隱藏tomcat版本信息

方法一

修改$CATALINA_HOME/conf/server.xml,在Connector節點添加server字段，示例如下

方法二

修改$CATALINA_HOME/lib/catalina.jar::org/apache/catalina/util/ServerInfo.properties

默認情況下如圖

用戶可自定義修改server.info字段和server.number字段，示例修改如下圖所示。

0x03 關閉自動部署

如果不需要自動部署，建議關閉自動部署功能。在$CATALINA_HOME/conf/server.xml中的host字段，修改unpackWARs="false" autoDeploy="false"。

0x03 自定義錯誤頁面

修改web.xml,自定義40x、50x等容錯頁面，防止信息泄露。

0x05 禁止列目錄（高版本默認已禁止）

修改web.xml

0x06 AJP端口管理

AJP是為 Tomcat 與 HTTP 服務器之間通信而定制的協議，能提供較高的通信速度和效率。如果tomcat前端放的是apache的時候，會使用到AJP這個連接器。前端如果是由nginx做的反向代理的話可以不使用此連接器，因此需要注銷掉該連接器。

0x07 服務權限控制

tomcat以非root權限啟動，應用部署目錄權限和tomcat服務啟動用戶分離，比如tomcat以tomcat用戶啟動，而部署應用的目錄設置為nobody用戶750。

0x08 啟用cookie的HttpOnly屬性

修改$CATALINA_HOME/conf/context.xml，添加<Context useHttpOnly="true">,如下圖所示

測試結果

配置cookie的secure屬性，在web.xml中sesion-config節點配置cooker-config，此配置只允許cookie在加密方式下傳輸。

測試結果