Tomcat默认界面可导致版本信息泄露+管理后台爆破

由于配置的Tomcat时，管理页面未进行删除或者权限角色配置，攻击者可以通过暴力猜解进入到管理后台，从而上传获取shell。

Tomcat的默认工具manager配置，在很多的生产环境中由于基本用不到、或者是不太需要使用Tomcat默认的manager管理页面时一般都会把Tomcat的默认webapp下的内容给删除了，但是如果需要使用Tomcat默认的manager来管理项目时就需要保留相应的文件目录。在Tomcat中的webapps中有如下目录：docs（Tomcat本地说明文档）、examples（Tomcat相关的deamon示例）、host-manager（主机头管理工具）、manager（项目管理工具）、ROOT（Tomcat默认页），其中需要保留的是host-manager、manager、ROOT这3个目录而从Tomcat 6开始为了安全缺省条件下Tomcat的host-manager、manager是不能访问的（http 401拒绝），如需访问需要分配相关的角色权限。加强口令强度，杜绝弱口令。

还需要做如下修改：

1、进入到tomcat/lib目录下，用电脑自带解压软件打开catalina.jar  进入到\org\apache\catalina\util目录下
2、编辑ServerInfo.properties文件，编辑最后三行，去掉版本号等信息
3、改完后自动跳出提示，点击“是”自动更新catalina.jar重新打包。