Tomcat管理后台整改建议
一、描述
默认安装Tomcat自带启用了管理后台功能,该后台可直接上传war对站点进行部署和管理,通常由于运维人员的疏忽,导致管理后台空口令或者弱口令的产生,使得黑客或者不法分子利用该漏洞直接上传WEBSHELL导致服务器沦陷。
通常访问Tomcat后台管理地址为:http://iP:8080/manager/html/
二、整改建议
由于此类型漏洞对业务系统造成比较严重的危害,建议针对tomcat管理后台作如下整改:
方案一:若业务系统不使用tomcat管理后台发布业务代码:
1)直接将部署tomcat目录下webapps下的manager、host-manager文件夹全部删除;
2)注释Tomcat目录下conf下的tomcat-users.xml中的所有代码,如下:
方案二:若业务系统需要使用tomcat管理后台进行业务代码发布和管理,建议修改默认admin用户,且密码长度不低于10位,必须包含大写字母、特殊符号、数字组合,如下: