在服务器扫描期间,我们在 tomcat 应用程序中发现了“Web 服务器使用纯文本基本身份验证”漏洞。我们尝试启用 SSL(生成 SSL 证书、在 server.xml 中进行更改并重新启动 tomcat),但这仍然无法解决我们的问题。有没有什么解决方案可以修复此漏洞?
提前致谢!
答案1
当然,这很简单。你有两个选择:
- 不接受端口 80 上的连接。
- 接受端口 80 上的连接,但立即将其重定向到端口 443 上的 https。
至于在 tomcat 中如何实现这一点,就留给你自己去理清了。