Web容器版本泄露漏洞修复

0x00 背景

 

 

恶意攻击者可以根据版本信息寻找相关漏洞，进行利用漏洞攻击

0x01 修复思路

通过修改配置或者配置错误提示页面，隐藏 web容器的版本号及其它敏感信息。

0x02 代码修复

Apache 版本号

隐藏 Apache 的版本号及其它敏感信息，配置操作，修改 httpd.conf 配置文件：

在Apache配置文件中添加ServerTokens ProductOnly

#ServerTokens OS             # 注释掉改行

Servertokens off             # 添加这行屏蔽apache版本信息    

ServerSignature Off          # 添加这行屏蔽系统信息

tengine版本号

在tengine配置文件中添加下面三项即可

server_tag off;

server_info off;

server_tokens off;

Tomcat 版本号

到apache-tomcat安装目录下的lib子文件夹，找到catalina.jar这包，并进行解

解压之后进度到org/catalina/apache/util/目录下，编辑ServerInfo.properties

vim /path/tomcat/lib/org/apache/catalina/util/ServerInfo.properties

server.info=Apache Tomcat
server.number=0.0.0.0
server.built=Nov 7 2016 20:05:27 UTC

cd  /tomcat/lib

jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties

重启tomcat