1 檢查是否禁止Tomcat列表顯示檔案

將web.xml檔案中listings配置false

2 檢查是否禁止超級使用者啟用tomcat

使用普通使用者啟動tomcat

3檢查是否配置Tomcat錯誤頁面重定向

1. web.xml檔案中是否存在Tomcat錯誤頁面404,403,500重定向error-code配置示例：<error-code>404</error-code>,XML路徑：web-app/error-page/error-code

4 檢查是否設定連線數

1. server.xml檔案中配置maxThreads=25

2. server.xml檔案中配置minSpareThreads=75

XML路徑：Server/Service/Connector

5 檢查是否更改Tomcat伺服器預設埠

1. server.xml檔案中HTTP協議的埠設定不為8080

6 檢查是否禁用危險的HTTP 方法

web.xml檔案中readonly配置true

XML路徑：

web-app/servlet/init-param/param-name

web-app/servlet/init-param/param-value

7 檢查是否支援HTTPS等加密協議

server.xml檔案中是否配置keystoreFile SSL證書檔案路徑；示例：keystoreFile=”/path/to/my/keystore”

8 檢查tomcat使用者是否具有管理許可權

tomcat-users.xml檔案中配置tomcat賬號manager許可權

9 檢查是否禁用manager功能

僅供參考：刪除$CATALINA_HOME/webapps/目錄中manager資料夾

10 檢查是否配置訪問模組審計錯誤資訊日誌

server.xml檔案中<valve classname='org.apache.catalina.valves.AccessLogValve' Directory='logs' prefix='localhost_access_log.' Suffix='.txt' Pattern='common' resloveHosts='false'/>是否存在該內容；示例：<valve classname='org.apache.catalina.valves.AccessLogValve' Directory='logs' prefix='localhost_access_log.' Suffix='.txt' Pattern='common' resloveHosts='false'/>

11 檢查是否啟用日誌功能

server.xml檔案中<valve classname='org.apache.catalina.valves.AccessLogValve' Directory='logs' prefix='localhost_access_log.' Suffix='.txt' Pattern='common' resloveHosts='false'/>是否存在該內容；示例：<valve classname='org.apache.catalina.valves.AccessLogValve' Directory='logs' prefix='localhost_access_log.' Suffix='.txt' Pattern='common' resloveHosts='false'/>