Tomcat管理後臺整改建議
一、描述
默認安裝Tomcat自帶啓用了管理後臺功能,該後臺可直接上傳war對站點進行部署和管理,通常由於運維人員的疏忽,導致管理後臺空口令或者弱口令的產生,使得黑客或者不法分子利用該漏洞直接上傳WEBSHELL導致服務器淪陷。
通常訪問Tomcat後臺管理地址爲:http://iP:8080/manager/html/
二、整改建議
由於此類型漏洞對業務系統造成比較嚴重的危害,建議針對tomcat管理後臺作如下整改:
方案一:若業務系統不使用tomcat管理後臺發佈業務代碼:
1)直接將部署tomcat目錄下webapps下的manager、host-manager文件夾全部刪除;
2)註釋Tomcat目錄下conf下的tomcat-users.xml中的所有代碼,如下:
方案二:若業務系統需要使用tomcat管理後臺進行業務代碼發佈和管理,建議修改默認admin用戶,且密碼長度不低於10位,必須包含大寫字母、特殊符號、數字組合,如下: