渗透测试出现的问题渗透测试出现的问题

【渗透测试出现的问题】1.tomcat欢迎页面（ip:8080）以及文档页面（ip:8080/docs/index.html）会泄露tomcat版本号等信息
违规描述：

后台泄露漏洞
手工测试访问常用的地址连接或者使用工具字典暴力破解后台地址，后台泄露漏洞包含但
不仅限于：

应用系统本身后台泄露

中间件后台泄露

敏感信息泄露
敏感信息包括但不仅限于：

网站绝对路径泄露

SQL语句泄露

中间件版本泄露

解决方式：删除tomcat webapp目录下除项目之外的文件夹
2.无用端口未关闭
违规描述：

检测存在风险的无关服务和端口
使用Nmap扫描端口，对系统内端口情况以及漏洞进行检测，如：
111端口Remote Procedure Call，远程过程调用
135端口 CVE-2003-0352 Microsoft Windows DCOM RPC接口长主机名远程缓冲区溢出漏洞
(MS03-026)
139端口 CVE-2003-0533 Windows Local Security Authority Service远程缓冲区溢出漏
洞(MS04-011)
445端口 CVE-2008-4250Microsoft Windows Server服务RPC请求缓冲区溢出漏洞
（MS08-067）
CVE-2017-0143到CVE-2017-0148 Microsoft Windows SMB Server远程代码执行漏洞
(MS17-010)（永恒之蓝、永恒之石使用此漏洞进行传播）等

准备：1）一般是端口扫描使用Nmap，需要先自己下载一个。
2）需要有 <本地组策略编辑器>
备注：使用防火墙修改入站规则应该也是可以的，但我没试过
win10添加本地组策略教程：http://www.xitongcheng.com/jiaocheng/win10_article_41129.html
解决方法：
https://blog.csdn.net/wangjialiang/article/details/7241875
俺也一样。
3.中间件使用了不安全的HTTP方法
违规描述：