AWVS常见漏洞修改

问题出在Tomcat的8009端⼝，错误的提⽰是8009端⼝上运⾏着tcp协议。

解决办法：只能是通过关闭8009端⼝来实现，但是关闭端⼝之后对Tomcat有影响。

问题出在表单提交没有保护，可以伪造⼀个表单进⾏提交。

解决办法：在提交表单的jsp界⾯产⽣⼀个随机数，把这个随机数放到session中传递，同时也放到form表单中以input的⽅式传递（注意这⾥要把input的type类型设置为hidden，并且⼀定要放在提交按钮之前），然后在后台，对⽐从前台传递的参数和从session中获得参数，如果不⼀致，说明是伪造的表单。拒绝访问。（此⽅法我以register.jsp进⾏了验证，有效果。）

问题出在http头部的限定长度过⼤，攻击者可以通过链接服务器之后，缓慢的发送数据来保持持续链接，这样来控制它的最⼤并发量。

解决办法：修改Tomcat的server.xml的8080端⼝，把⾥⾯的connectionTimeout=”20000”修改成connectionTimeout=”8000”,问题解决，但不确定对程序有⽆影响，⽬前来看没发现有其他影响。还可以修改http头部的⼤⼩，因为已经解决问题，就没有再去修改头部⼤⼩。

问题是说表单中的数据⼀明⽂的形式传递，但是扫描到的都是在表单中⽤post的⽅式传递，没有找到解决此漏洞的⽅法。

问题出在程序出现500错误时，有关服务器的问题，会展现在浏览器的页⾯上Tomcat的路径，这样就会把服务器的路径暴露在攻击者⾯前。解决办法：当出现500错误时，⾃定义界⾯。在Tomcat的web.xml⾥，最下⾯也就是之前添加如下内容

500 /error500.html

然后，在在程序的web-inf下⾯新建⼀个error500.html，⾃定义当出现500错误时的界⾯。