一.问题描述Tomcat报错页面泄漏Apache Tomcat/7.0.52相关版本号信息,是攻击者攻击的途径之一.因此实际当中建议去掉版本号信息.二.解决办法 1.进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar  进入到\org\apache\catalina\util目录下2.编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等信息3.改完后自动跳出提示,点击“是”自动更新catalina.jar重新打包.…

原文链接:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/X-Frame-Options?redirectlocale=en-US&redirectslug=The_X-FRAME-OPTIONS_response_header X-Frame-Options 响应头 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object>…

今天受同事的委托,修复一台服务器的Apache漏洞,主要集中在以下几点: 1.Apache httpd remote denial of service(中危) 修复建议:将Apache HTTP Sever升级到2.2.20或更高版本. 解决方法:升级HTTP. 现Apache官网提供的都是源码包. 源码包的使用方法可参考:http://blog.chinaunix.net/uid-24961369-id-251583.html 2.点劫持(Clickjacking: X-Frame-Opti…

关于SSL POODLE漏洞 POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞. 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患. 从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的.…

转载地址:https://security.pingan.com/blog/17.html SQL注入 在服务器端要对所有的输入数据验证有效性. 在处理输入之前,验证所有客户端提供的数据,包括所有的参数.URL和HTTP头的内容. 验证输入数据的类型.长度和合法的取值范围. 使用白名单验证允许的输入字符而不是黑名单. 在危险字符输入后进行转义或编码. 明确所有输入正确的字符集. 不使用动态拼接的SQL语句,如果使用对特殊字符进行转义. 设置最小权限运行程序 OS命令注入 不仅要在客户端过滤,也要…

简介 考虑一下这种场景,你开发了一个应用,它有十分优秀的布局设计,最新的特性以及其它的优秀特点.但是在性能这方面欠缺,不管这个应用如何都会遭到客户拒绝.客户总是期望它们的应用应该有更好的性能.如果你在产品中使用了Tomcat服务器,那么这篇文章就会给你几方面来提升Tomcat服务器的性能.感谢ITWorld article给本文提供资源.经过沉思我已经知道了和早期版本相比最新的Tomcat提供更好的性能和稳定性.所以一直使用最新的Tomcat版本.现在本文使用下面几步来提高Tomcat服务器的性…

近期网站系统被扫描出漏洞:IIS短文件/文件夹漏洞 漏洞级别:中危漏洞 漏洞地址:全网站 漏洞描述:IIS短文件名泄露漏洞,IIS上实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举获取服务器根目录中的文件. 漏洞危害:攻击者可利用"~"字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击. 漏洞造成原因:没有禁止NTFS8.3格式文件名创建. 漏洞截图:   在网上找了很多资料都没有达到修复效果,网上有建议将.net Farrmework升级至…

1 Web安全介绍1 2 SQL注入.盲注1 2.1 SQL注入.盲注概述 1 2.2 安全风险及原因 2 2.3 AppScan扫描建议 2 2.4 应用程序解决方案 4 3 会话标识未更新7 3.1 会话标识未更新概述 7 3.2 安全风险及原因分析 7 3.3 AppScan扫描建议 8 3.4 应用程序解决方案 8 4 已解密登录请求8 4.1 已解密登录请求概述 8 4.2 安全风险及原因分析 8 4.3 AppScan扫描建议 9 4.4 应用程序解决方案 9 5 跨站点请求伪造11…

通过HTTP头部字段防御措施整理 X-Frame-Options #反劫持 X-XSS-Protection #开启浏览器防XSS功能 Set X-Frame-Options  CSP X-Content-Type-Options: nosniff #改会影响浏览器的行为,过滤掉敏感文件 Content-Encoding #Breach攻击 robots.txt 注入 预编译 文件上传 后端代码限制上传的文件类型(类型&后缀)和大小 强制给上传的文件添加后缀名 命令执行 禁用或过滤代码执行函数…

在这篇文章里分以下的七个步骤,按照这些步骤走,Tomcat服务器的性能就能改善哦. 增加JVM堆(heap) 解决内存泄漏问题 线程池(thread pool)的设置 压缩 调节数据库性能 Tomcat原生库(native library) 其他选项 第一步  – 提高JVM栈内存Increase JVM heap memory 你使用过tomcat的话,简单的说就是“内存溢出”. 通常情况下,这种问题出现在实际的生产环境中.产生这种问题的原因是tomcat使用较少的内存给进程,通过配置TOmc…