我想在red5中隐藏我的tomcat版本的身份。 到目前为止,我已经完成了以下工作:
webapps文件夹中除vod和root\web-inf以外的所有非必要目录。其他目录/ webapps不是必需的。我根据https://stackoverflow.com/a/25237686/1688441的答案在error valve添加了conf/j2ee-container.xml。
</bean>
<bean id="valve.error" class="org.apache.catalina.valves.ErrorReportValve">
v<property name="showServerInfo" value="false" />
<property name="showReport" value="false" />
</bean>
</list>
发生错误时页面非常空:
HTTP Status 404 - /testing
但是我还没有找到如何做剩下的三件事:
Server:Apache-Coyote/1.1)2和3对我来说应该相对简单....但不确定1。
当前的tomcat是Apache Tomcat/7.0.57
这并不意味着我支持仅通过默默无闻来依赖安全。相反,我认为隐藏版本会增加一个小的延迟,攻击迫使攻击者执行更多的信息收集。减少信息泄漏被认为是OWASP的最佳实践。
答案 0 :(得分:2)
您可以在Tomcats&#34; /conf/web.xml"中禁用多项设置,例如将这些设置为false:
xpoweredBy,listing,showServerInfo,...
答案 1 :(得分:-2)
默默无闻的安全从未奏效,也永远不会。这样做几乎没有任何好处。类似的问题已经提交给Tomcat,Mark Thomas关闭了它们,因为它不会修复。