1. Apache JServ protocol service漏洞

問題出在Tomcat的8009埠，錯誤的提示是8009埠上執行著tcp協議。

解決辦法：只能是通過關閉8009埠來實現，但是關閉埠之後對Tomcat有影響，目前還沒有找到好的解決辦法。

2. HTML form without CSRF protection

問題出在表單提交沒有保護，可以偽造一個表單進行提交。

解決辦法：在提交表單的jsp介面產生一個隨機數，把這個隨機數放到session中傳遞，同時也放到form表單中以input的方式傳遞（注意這裡要把input的type型別設定為hidden，並且一定要放在提交按鈕之前），然後在後臺，對比從前臺傳遞的引數和從session中獲得引數，如果不一致，說明是偽造的表單。拒絕訪問。

3. Slow Http Denial of Service Attack

問題出在http頭部的限定長度過大，攻擊者可以通過連結伺服器之後，緩慢的傳送資料來保持持續連結，這樣來控制它的最大併發量。

解決辦法：修改Tomcat的server.xml的8080埠，把裡面的connectionTimeout=”20000”修改成connectionTimeout=”8000”,問題解決，但不確定對程式有無影響，目前來看沒發現有其他影響。還可以修改http頭部的大小限制，因為已經解決問題，就沒有再去修改頭部大小。

4. User cerdentials are sent in clear text

問題表現是說表單中的資料一明文的形式傳遞，但是掃描到的這兩個都是在表單中用

5. Application error message 和 Error message on page

問題出在程式出現500錯誤時，有關伺服器的問題，會展現在瀏覽器的頁面上Tomcat的路徑，這樣就會把伺服器的路徑暴露在攻擊者面前。

解決辦法：當出現500錯誤時，自定義介面。在Tomcat的web.xml裡，最下面也就是</web-app>之前新增如下內容

<error-page>

        <error-code>500</error-code>

        <

</error-page>

然後，在在程式的web-inf下面新建一個error500.html，自定義當出現500錯誤時的介面。

這是工作過程中解決問題時的積累，如果對你有幫助，倍感榮幸，有什麼問題我們可以留言交流。