隐藏 Red5 tomcat 版本 - 要求减少信息泄露
Hiding Red5 tomcat version - reduce information leakage requested
问题
我想在 red5 中隐藏我的 tomcat 版本的身份。
到目前为止,我已经完成了以下工作:
- 删除了
webapps 文件夹中除 vod 和 root\web-inf 之外的所有不需要的目录。其他 directories/webapps 没有必要。
我根据 的答案在 conf/j2ee-container.xml 中添加了一个 error valve。
</bean>
<bean id="valve.error" class="org.apache.catalina.valves.ErrorReportValve">
v<property name="showServerInfo" value="false" />
<property name="showReport" value="false" />
</bean>
</list>
发生错误时页面非常空:
HTTP Status 404 - /testing
但是我还没有找到如何做剩下的三件事:
- 隐藏回复header大纲版本(
Server:Apache-Coyote/1.1)
- 禁用目录浏览
- 隐藏图标
2 和 3 对我来说应该比较容易找到....但不确定 1 .
当前 tomcat 是 Apache Tomcat/7.0.57
关于隐蔽性安全的免责声明
这并不意味着我赞成仅依靠默默无闻的安全性。相反,我相信隐藏版本会增加攻击的小延迟,迫使攻击者执行更多信息收集。减少信息泄漏被认为是 OWASP 的最佳实践。
您可以在 Tomcats“/conf/web.xml”中禁用多个设置,例如将这些设置为 false:
xpoweredBy,列表,showServerInfo,...
默默无闻的安全性从来没有而且永远不会奏效。这样做实际上一无所获。 Tomcat 已提交类似问题,Mark Thomas 已将其关闭,因为无法修复。
问题
我想在 red5 中隐藏我的 tomcat 版本的身份。 到目前为止,我已经完成了以下工作:
- 删除了
webapps文件夹中除vod和root\web-inf之外的所有不需要的目录。其他 directories/webapps 没有必要。 我根据 的答案在
conf/j2ee-container.xml中添加了一个error valve。</bean> <bean id="valve.error" class="org.apache.catalina.valves.ErrorReportValve"> v<property name="showServerInfo" value="false" /> <property name="showReport" value="false" /> </bean> </list>
发生错误时页面非常空:
HTTP Status 404 - /testing
但是我还没有找到如何做剩下的三件事:
- 隐藏回复header大纲版本(
Server:Apache-Coyote/1.1) - 禁用目录浏览
- 隐藏图标
2 和 3 对我来说应该比较容易找到....但不确定 1 .
当前 tomcat 是 Apache Tomcat/7.0.57
关于隐蔽性安全的免责声明
这并不意味着我赞成仅依靠默默无闻的安全性。相反,我相信隐藏版本会增加攻击的小延迟,迫使攻击者执行更多信息收集。减少信息泄漏被认为是 OWASP 的最佳实践。
您可以在 Tomcats“/conf/web.xml”中禁用多个设置,例如将这些设置为 false:
xpoweredBy,列表,showServerInfo,...
默默无闻的安全性从来没有而且永远不会奏效。这样做实际上一无所获。 Tomcat 已提交类似问题,Mark Thomas 已将其关闭,因为无法修复。