tomcat版本：7.0.81

一、点击劫持漏洞

问题描述：

点击劫持（ClickJacking）是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息中的X-Frame-Options，可以指示浏览器是否应该加载一个 iframe 中的页面。

漏洞整改方案：

Tomcat可以配置过滤器解决问题：

打开程序目录下的web.xml添加以下过滤器：

              
      
       httpHeaderSecurity
               
      
       org.apache.catalina.filters.HttpHeaderSecurityFilter        
               
                   
       
        antiClickJackingOption
                    
       
        SAMEORIGIN
                
               
      
       true
           
          
              
      
       httpHeaderSecurity
               
      
       /*
           
      
       REQUEST
           
      
       FORWARD
           
     

 

二：安全配置错误：Apache tomcat默认文件未删除

问题描述：

Apache Tomcat的 servlet / JSP容器中安装有示例JSP和Servlet文件。应该删除这些文件，因为它们可以帮助 攻击者发现Tomcat或者远程主机的安装信息。而且他们本身可能也存在安全弱点，比如：跨站点脚本问题。

漏洞整改方案：

删除webapps下与业务系统无关的目录文件，这一步就可以解决大部分漏洞。