漏洞修复：web应用服务器版本信息泄露

方案一：建立错误机制，不要把真实的错误反馈给访问者方案二：Tomcat服务器隐藏版本信息

Web服务器未能正确处理异常请求导致Web服务器版本信息泄露，攻击者收集到服务器信息后可进行进一步针对性攻击。

方案一：建立错误机制，不要把真实的错误反馈给访问者

可以通过在web.xml添加对相应的错误页面：

<!-- 默认的错误处理页面 --> <error-page> <error-code>403</error-code> <location>/errors/403.html</location> </error-page> <error-page> <error-code>404</error-code> <location>/errors/404.html</location> </error-page> <error-page> <error-code>500</error-code> <location>/errors/500.html</location> </error-page> <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>404</title> </head> <body> 页面迷路咯 </body> </html>

效果：

方案二：Tomcat服务器隐藏版本信息

版本信息配置在安装目录lib下，名称为 catalina.jar，修改 org/apache/catalina/util/ServerInfo.properties 文件中的 serverinfo 字段来隐藏tomcat的版本信息

# server.info=Apache Tomcat/7.0.63 server.info=Tomcat server.number=7.0.63.0 server.built=Jun 30 2015 08:08:33 UTC

效果： 修改Tomcat版本信息后，Idea配置检查通不过，启动会报异常：