CVE-2020-1938&AJP协议&配置tomcat拦截

CVE-2020-1938

1.禁用8009端口

2.禁用ajp协议

\Jboss\jboss-as-distribution-6.1.0.Final\jboss-6.1.0.Final\server\default\deploy\jbossweb.sar

server.xml   注释下面

 <!-- <Connector protocol="AJP/1.3" port="${jboss.web.ajp.port}" address="${jboss.bind.address}"
         redirectPort="${jboss.web.https.port}" /> -->

3.升级tomcat

tomcat拦截

在tomcat-users.xml文件中设置

<role rolename="tomcat"/>
 <user username="admin（账号）" password="admin（密码）" roles="tomcat"/>

在web.xml文件中设置

<!--以下为登录配置-->
    <security-constraint>
        <web-resource-collection>
            <display-name>Example Security Constraint</display-name>
            <web-resource-name>My Test</web-resource-name>
            <!--如果仅对项目中某些内容添加登录拦截，则这里具体配置到
               内容的目录下，如果对所有的进行拦截，则直接写*-->
            <url-pattern>/1.html</url-pattern>
        </web-resource-collection>
        <auth-constraint>
           <!--这里是前边tomcat-users.xml里配置的角色名，如果多个，
             则配置多个role-name标签即可-->
           <role-name>tomcat</role-name>
        </auth-constraint>
    </security-constraint>

<login-config>
    <!--tomcat登录拦截有两种，一种BASIC,另一种为FORM，本文里最上边的那种弹窗即是BASIC-->
    <auth-method>BASIC</auth-method>
    <realm-name>My Test</realm-name>
</login-config>