Web 服务器使用纯文本基本身份验证漏洞

Web 服务器使用纯文本基本身份验证漏洞

在服务器扫描期间,我们在 tomcat 应用程序中发现了“Web 服务器使用纯文本基本身份验证”漏洞。我们尝试启用 SSL(生成 SSL 证书、在 server.xml 中进行更改并重新启动 tomcat),但这仍然无法解决我们的问题。有没有什么解决方案可以修复此漏洞?

提前致谢!

答案1

当然,这很简单。你有两个选择:

  1. 不接受端口 80 上的连接。
  2. 接受端口 80 上的连接,但立即将其重定向到端口 443 上的 https。

至于在 tomcat 中如何实现这一点,就留给你自己去理清了。

相关内容