`
xinglijun1973
  • 浏览: 55759 次
社区版块
存档分类
最新评论

tomcat 处理 https 漏洞

 
阅读更多

因为ssl3.0有漏洞,所以尽量使用TLSv1.2。
漏洞危害:
HTTPS安全传输通道不可信。
修复建议:
禁止开启SSL3,除非客户端版本比较低,否则应只开启TLS1.2,其他协议均应关闭。
开启TLS1.2 支持

解决:
tomcat的server.xml :

引用
SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"



注意:jdk7才支持tls1.2,tomcat7.0.56(65?)才默认禁止ssl3.0
附录:参考了 http://blog.csdn.net/jackpk/article/details/47979643
请参考 http://www.freebuf.com/articles/network/62442.html,
免费ssl牢固性测试网站 https://www.ssllabs.com/ssltest/index.html

 

分享到:
评论
4 楼 xinglijun1973 2017-08-15  

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"  
        maxThreads="150" SSLEnabled="true"  
        scheme="https" secure="true"  
                      clientAuth="false"    
        keystoreFile="conf/xx.JKS"   
                  keystorePass="xx"  
                          sslProtocol="TLSv1.2" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"   
ServerCipherSuitesOrder="true">此处有误,最后应是 useServerCipherSuitesOrder="true">
3 楼 xinglijun1973 2017-07-05  
xinglijun1973 写道
问题:虽然ciphers中写了很多加密套件,但测试结果只有少数几个加密套件可用?
解答:jdk中默认限制了加密强度。
默认aes强度为128位:请看https://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#importlimits,
无限制加密强度政策文件下载(jdk8的):http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html。
下载后解压到 jre/lib/security/下替换原来的文件即可。


当时,conf/server.xml中配置为:
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
            maxThreads="150" SSLEnabled="true"
            scheme="https" secure="true"
                          clientAuth="false"  
            keystoreFile="conf/xx.JKS" 
                      keystorePass="xx"
                              sslProtocol="TLSv1.2" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" 
 useServerCipherSuitesOrder="true"  >


2 楼 xinglijun1973 2017-07-05  
问题:虽然ciphers中写了很多加密套件,但测试结果只有少数几个加密套件可用?
解答:jdk中默认限制了加密强度。
默认aes强度为128位:请看https://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#importlimits,
无限制加密强度政策文件下载(jdk8的):http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html。
下载后解压到 jre/lib/security/下替换原来的文件即可。

1 楼 xinglijun1973 2017-06-30  
如何让服务器设置加密套件顺序?
需要升级到jdk1.8,tomcat8.5.16,在ciphers后,加
useServerCipherSuitesOrder="true"

相关推荐

    Tomcat-8.5.28 无漏洞

    在本文中,我们将深入探讨Tomcat 8.5.28这一特定版本,以及它如何修复了一个安全限制绕过漏洞。 标题中的"Tomcat-8.5.28 无漏洞"意味着该版本已经对已知的安全问题进行了修补,确保了用户的服务器不会受到这些漏洞...

    Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)

    CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞的存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...

    Apache Tomcat CVE-2019-0232 远程代码执行漏洞 - tdcoming'blog QQ group 90

    CGI Servlet允许Tomcat服务器处理CGI(Common Gateway Interface)请求,这些请求可以调用服务器上的外部程序来生成动态内容。攻击者可以通过发送特别构造的CGI请求,利用这个漏洞在具有Apache Tomcat权限的系统上...

    tomcat7打补丁版.rar

    6. **SQL注入**:如果Tomcat与数据库交互时未正确处理用户输入,可能会引发SQL注入。补丁会确保所有用户输入都被安全地转义或参数化。 应用这个补丁的过程通常包括以下几个步骤: 1. **下载补丁**:从官方Apache ...

    tomcat 升级到8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞)

    标题中的“tomcat 升级到8.5.99后,系统...总的来说,升级Apache Tomcat时,理解新版本的变化、更新代码和配置、以及妥善处理依赖关系是至关重要的。同时,确保有足够的日志记录和备份策略,以便于快速定位和解决问题。

    tomcat工具

    Tomcat是符合Java Servlet和JavaServer Pages(JSP)规范的应用服务器,它是基于Java的开源软件,主要用于处理动态网页内容。Tomcat不仅免费,而且易于配置和管理,因此在小型项目或开发环境中特别受欢迎。 2. ...

    apache-tomcat-7.0.57_apache-tomcat-7.0.57_

    6. **日志和错误处理**:Tomcat的日志文件位于`logs`目录下,包括`catalina.out`和其他特定于应用的日志文件。这些日志对于调试和监控服务器状态至关重要。 7. **安全和权限**:Tomcat支持多种安全机制,包括基本...

    apache tomcat-5.5.23 这个版本很难找到了

    2. **性能优化**:Tomcat 5.5.x系列在处理HTTP请求和响应方面进行了优化,提高了并发处理能力。5.5.23可能包含特定的性能增强,例如更快的线程调度和更有效的内存管理。 3. **管理工具**:此版本提供了管理控制台,...

    tomcat用https替换http的方法

    在标签“源码”和“工具”提示下,我们可以深入研究Tomcat的源代码,了解其内部如何处理SSL连接。Tomcat使用Java的JSSE(Java Secure Socket Extension)来实现SSL/TLS功能。JSSE提供了一套API,使得开发者可以方便...

    apache-tomcat-7.0.82_tomcat_

    Tomcat主要处理HTTP协议,用于将动态内容(如JSP、Servlet)与静态内容(如HTML、CSS、JavaScript)结合并发送给客户端。它的优点包括开源、免费、易于配置和管理,以及与Java技术的紧密集成。 在Windows系统上安装...

    官方原版tomcat8.0.43 64位

    3. **Tomcat版本8.0.43**:这个版本修复了前一版本中的若干安全漏洞和性能问题,确保了系统的稳定性和安全性。例如,可能包括对跨站脚本(XSS)攻击、SQL注入和其他潜在威胁的防御增强。 4. **64位支持**:64位版本的...

    tomcat.8.5.88

    6. **DoS(拒绝服务)攻击**:某些漏洞可能被利用来发起DoS攻击,使服务器无法处理合法请求,导致服务中断。 为了确保系统的安全性,对于Apache Tomcat 8.5.88的用户来说,升级到至少8.5.84或更高版本是至关重要的...

    tomcat-8.5.54.zip

    - **安全性增强**:这个版本修复了多个安全漏洞,包括CVE-2019-10098、CVE-2019-10099等,保障了服务器的稳定和安全。 - **性能优化**:通过对内部代码的调整和优化,提高了处理请求的速度和效率,降低了内存消耗...

    tomcat 6.0.41

    学习Servlet和JSP,开发者需要理解生命周期、请求处理流程以及它们如何与Tomcat交互。Servlet通过`doGet`和`doPost`方法处理HTTP请求,JSP则将逻辑代码转化为Servlet,再由Tomcat执行。开发者还需要知道如何在`web....

    Apache-Tomcat从文件包含到RCE漏洞原理深入分析1

    2020年2月20日,CNVD(中国国家信息安全漏洞库)公开了一个关于Apache Tomcat的文件包含漏洞,该漏洞被标记为CVE-2020-1938。这个漏洞允许攻击者通过特定的输入,包含并执行Tomcat服务器上webapps目录下的任意文件,...

    apache-tomcat-9.0.65

    7. **连接器与协议**:Tomcat使用不同的连接器来处理不同的网络协议,如HTTP/1.1(` Coyote HTTP/1.1 Connector`)和AJP(`Coyote AJP/1.3 Connector`)。这些连接器可以在`server.xml`中配置。 8. **热部署**:在`...

    tomcat 7.0.30 web服务器

    Tomcat7服务器web开发 Tomcat和IIS、Apache等Web服务器一样,具有处理HTML页面的功能,另外它还是一个Servlet和JSP容器,独立的Servlet容器是Tomcat的默认模式。

    tomcat漏洞大杂烩1

    【标题】:“Tomcat漏洞大杂烩1” 【描述】:描述中提到的是一些关于Tomcat服务器的安全问题,特别是Windows环境下的一些限制以及NTFS流的特性。在Windows系统下,文件名不允许以空格结尾,这是一个操作系统级别的...

    apache-tomcat-7.0.52

    4. **安全性**:Tomcat 7.0.52在安全性方面有所增强,包括对HTTPS的支持,通过修改server.xml中的Connector配置可以启用SSL/TLS。此外,它还包含了对最新的安全漏洞的修复,保障了服务器的安全运行。 5. **性能优化...

Global site tag (gtag.js) - Google Analytics