漏洞描述

默认错误页、默认索引页、示例JSP和/或示例servlet安装在远程ApacheTomcat服务器上。应该删除这些文件，因为它们可以帮助攻击者发现有关远程Tomcat安装或主机本身的信息。

在日常工作中，经常需要处理这样的漏洞修复，很多同学第一反应就是删除默认引导页，但是再次访问时，同样会暴露tomcat的版本。如下图所示

 网络上的解决方法大部分都是

1、进入到tomcat/lib目录下，用电脑自带解压软件打开catalina.jar  进入到\org\apache\catalina\util目录下
2、编辑ServerInfo.properties文件，编辑最后三行，去掉版本号等信息
3、改完后自动跳出提示，点击“是”自动更新catalina.jar重新打包。

server.info=Apache Tomcat/8.5.79
改为server.info=Apache Tomcat，如果不想显示Tomcat信息，则可以将其改为server.info=  即可。

其实有更简单的方法可以解决这个问题

具体配置方法为：
在conf/server.xml配置文件中的<Host>配置项中添加如下配置：

<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />

修改后，重启tomcat,访问页面验证如下

至此问题解决！