tomcat目录遍历漏洞的防范

如果apache/apache tomcat配置文件没有处理好，会给站点带来相当大的隐患，目录遍历漏洞，会将站点的所有目录暴露在访问者眼前，有经验的开发者或hacker们可以从 这些目录得知当前站点的信息，如开发语言、服务器系统、站点结构，甚至一些敏感的信息。

apache如何防范目录遍历漏洞？

1找到“Options Indexes FollowSymLinks”将Indexes去掉，更改为“Options  FollowSymLinks”即可。

apache tomcat如何防范目录遍历漏洞？

1.编辑apache的httpd.conf找到“Options Indexes MultiViews”中的Indexs去掉，更改为”Options  MultiViews“即可。

2.编辑tomcat的conf/web.xml找到

<servlet>

 

<servlet-name>default</servlet-name>

 

<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>

 

<init-param>

 

<param-name>debug</param-name>

 

<param-value>0</param-value>

 

</init-param>

 

<init-param>

 

<param-name>listings</param-name>

 

<param-value>true</param-value>

 

</init-param>

 

<load-on-startup>1</load-on-startup>

 

</servlet>

将“<param-value>true</param-value>”此行的true改为false即可。

编辑好后，重启相应的服务生效。