1、Apache JServ协议服务

描述：
Apache JServ 协议（ AJP ）是一种二进制协议，可以将来自 Web 服务器的入站请求代理到 位于 Web 服务器后面的应用程序服务器。不建议在互联网上公开使用 AJP 服务。 如果 AJP 配置错误，可能会允许攻击者访问内部资源。

我的修复建议： {tocamat目录}/conf/server.xml中将下面的配置给注释掉：

2、 没有 CSRF 保护的 HTML 表单

此警报需要手动确认

跨站点请求伪造（ CSRF 或 XSRF ）是一种漏洞，其中攻击者将欺骗者向受害者提出请求没有打算做。因此，使用 CSRF ，攻击者滥用 Web 应用程序与受害者浏览器的信任。

Acunetix 发现一个没有明显的反 CSRF 保护的 HTML 表单。有关详细信息，请参阅“攻击详细信息”部分有关受影响的 HTML 表单的信息。

攻击者可以使用 CSRF 欺骗受害者访问攻击者托管的网站，或点击包含的 URL 恶意或未经授权的请求
CSRF 是一种 “ 混乱的副手 ” 攻击，在伪造时利用受害者的认证和授权 请求正在发送到 Web 服务器。因此，如果 CSRF 漏洞可能会影响高度特权的用户，例如 管理员可以全面的应用程序妥协。

报告给出的建议是：

验证此表单是否需要反 CSRF 保护，并在必要时实施 CSRF 对策。

推荐和最广泛使用的防止 CSRF 攻击的技术也被称为反 CSRF 令牌，有时称为同步器令牌。设计良好的反 CSRF 系统的特点如下属性。

（ 1 ）反 CSRF 令牌对于每个用户会话应该是唯一的

（ 2 ）会话应该在适当的时间段之后自动过期

（ 3 ）反 CSRF 令牌应该是具有显着长度的密码随机值

（ 4 ）反 CSRF 令牌应该是加密安全的，也就是由强伪随机数生成器生成的 （PRNG ）算法

（ 5 ）反 CSRF 令牌被添加为表单的隐藏字段，或者在 URL 内添加（仅当 GET 请求导致状态时才需要 更改，即GET 请求不是幂等）

（ 6 ）如果反 CSRF 令牌验证失败，服务器应拒绝所请求的操作

当用户提交表单或进行一些需要Cookie 的其他经过身份验证的请求时，反 CSRF 令牌应该是 包含在请求中。 然后， Web 应用程序将在处理之前验证此令牌的存在和正确性 请求。 如果令牌丢失或不正确，请求可以被拒绝。

在提交中加入一个 $_SESSION['token']唯一值做验证。

意思就是在每次请求后台接口时在最后面在随机加个参数，传入一个随机的数。比如在前台 js中随机生成一串数字，然后以隐藏的方式放入表单中或session 中。后台 action在接受后再判断是否有这个值。

转载于:https://www.cnblogs.com/xiaoliu66007/p/11275044.html

原文链接： http://www.cnblogs.com/xiaoliu66007/p/11275044.html 2. 漏洞 成因 该 漏洞 是由于Tomcat AJP 协议 存在缺陷造成的。Tomcat JServ 对应的是8009端口。攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响 Apache Tomcat 服务 器上的Web目录文件。利用方式属于文件包... 我们也可以用自定义HTTP头的方法来防御CSRF攻击，因为虽然浏览器会阻止向外站发送自定义的HTTP头，但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如，prototype.js这个 Java Script库就是使用这种方法，并且增加了 X-Requested-By头到XMLHttpRequest里面。 该 协议 主要是以二进制的格式，而不是以文本的格式传输数据的。使用TCP和基于包的 协议 ，增加了WEB 服务 器的性能。 mod_jk和mod_proxy就是基于AJP 协议 的。mod_jk是一个AJP连接器，它常被用来web 服务 器和tomcat的集成，比如 Apache 或者IIS等。 下载地址：h6pcode[root@localhost opt]# tar -zxvf tomcat-connectors-2.2.x-src.tar （2）运行配置命令[root@localhost opt]# t... 前言：Tomcat-AJP Tomcat是 Apache 软件基金会（ Apache Software Foundation）的Jakarta 项目中的一个核心项目，由 Apache 、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现，Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因...   最初的文档是Dan Milstein,danmil@shore.net于2000年12月份写的，当前文档由一个xml文件生成，可以更加简单地与Tomcat文档集成。 文档描述了 Apache JServ 协议 1.3版本（现在的ajp13)，当前没有文档讲述这个 协议 是如何工作。这个文档尝试着填补这个空缺，方便JK的维护者和任何想使用这个 协议 到其他地方的人（例如jakarta） 一、权限系统 这一天将讲述一个基本的基于数据库的权限管理系统的设计，在这一天的课程的最后将讲述“左右值无限分类实现算法”如何来优化“系统菜单”的结构而告终。今天的内容和前几天的基础框架是一样的它们都属于基础知识，在这些基础知识上还可以扩展出无数的变种与进化设计 只能是通过关闭8009端口来实现 Apache JServ protocol = AJP 解决方案：修改tomcat 的service.xml配置文件 将 <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> 这一行注释掉 2、Slow Apache JServ protocol  =  AJP 解决方案：修改tomcat 的service.xml配置文件 将 &lt;Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /&gt;这一行注释掉