tomcat示例文件漏洞解决方案

漏洞名称：Apache Tomcat servlet / JSP容器默认文件

 

 解决方案：

生产环境部署的tomcat中间件是不需要示例文件和默认文件的，一旦保留了示例文件或默认文件就会被漏扫系统扫描出各种漏洞，最典型的就是上面这种默认文件。

解决方法很简单，按照《tomcat删除自带项目手册》操作删除webapps目录下的自带项目，并修改相关配置文件即可。

经实际测试，windows服务器删除后一般不会再被扫描出tomcat漏洞，但是linux服务个别情况还会出现如上图的漏洞，此时需要手动设定一个自己的404页面。方法如下：

在webapps目录下新建一个ROOT目录（因为上面已经删掉了所以再新建一个），在ROOT目录下新建一个404.html文件，这个文件里写什么无所谓只要不出现tomcat信息即可，建议按照下面的内容使用最简单的模板即可：

	
		
	
	
		
404
	

 然后修改tomcat/conf/web.xml文件，在最后面追加刚才的404页面，配置修改后需要重启tomcat服务，重启时建议删除不必要的临时文件，如tomcat/temp、tomcat/work下的所有文件，tomcat/logs下tomcat自带自身的日志文件。

      404
      /404.html