Tomcat会话超时时如何记录操作日志,满足安全审计要求

最新推荐文章于 2023-12-11 14:57:40 发布
最新推荐文章于 2023-12-11 14:57:40 发布
阅读量5.4k 收藏 1
点赞数 2
分类专栏: Java Web Security Web 文章标签: tomcat web.xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NMS312/article/details/39051221
版权
Java 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
Web
3 篇文章 0 订阅
订阅专栏
Web Security
2 篇文章 0 订阅
订阅专栏

众所周知,在实际的Web应用程序中,会话管理一般都采用Web容器会话管理功能。

使用Tomcat做Web服务器也是如此,而且从安全的角度考虑,尽量避免去更改和干预Web容器的会话管理功能。

Tomcat会话管理功能肯定比我们自己做出来要全面和可靠,况且Tomcat是主流开源社区维护的,有专门的团队来开发和维护,一旦爆出安全漏洞,也能很快被修复。


在实际开发中,为了满足安全审计的要求,Web应用程序一旦有会话注销,就应该记录操作日志,注销一般分为操作者主动注销、应用程序检测到异常攻击主动注销会话、超时注销会话。

对于主动注销和检测到攻击注销会话,能够很容易的记录操作日志,达到要求。

但是对于超时会话注销,很多人都感觉没办法实现,一种比较常见的方法就是自己开发一个心跳程序,通过客户端页面不断向服务端发送心跳,服务端通过线程来接收心跳和轮训来去超时注销,从而记录操作日志。

这种虽然能够达到记录操作日志的效果,但是客户端向服务端多发了很多请求,一旦系统并发量很高的时候,服务端业务压力会增加,不是一个好的处理方式。


Web容易能够配置会话超时时间,就应该能够监听会话的创建和注销吧?答案是肯定的,Tomcat确实可以通过HttpSessionListener来实现,Session创建事件发生在每次一个新的session创建的时候,类似地Session失效事件发生在每次一个Session失效的时候。

这个接口也只包含两个方法,分别对应于Session的创建和失效:
public void sessionCreated(HttpSessionEvent se); 

public void sessionDestroyed(HttpSessionEvent se);

所以我们只要实现HttpSessionListener,在sessionDestroyed方法中可以实现记录操作日志的功能。


具体需要在我们Web应用程序的web.xml文件中来配置下我们实现的监听类,代码样例和web.xml配置如下:

1)代码样例

public class SessionManager implements HttpSessionListener
{

    public void sessionCreated(HttpSessionEvent se)
    {
        // ....
    }

    public void sessionDestroyed(HttpSessionEvent se)
    {
        // ......
    }
}

2)web.xml配置
 
<session-config>  
<session-timeout>30</session-timeout>  
</session-config> 
<listener>  
<listener-class>com.test.SessionManager</listener-class>  
</listener>

我是太阳_学习
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ 代码审计篇资源 ] apache-tomcat-8.5.63
12-25
在代码审计篇中,深入理解并实践Apache Tomcat 8.5.63的相关知识点是提升网络安全和渗透测试能力的重要步骤。以下是关于这个版本的一些关键知识点的详细解释: 1. **Servlet与JSP**:Tomcat作为Servlet容器,负责...
apache-tomcat-9.0.38.zip
12-26
Apache Tomcat是一个开源的软件应用服务器,主要用于运行Java Servlet和JavaServer Pages(JSP)以及WebSocket应用程序。这个压缩包"apache-tomcat-9.0.38.zip"包含了Tomcat 9.0.38版本的所有组件和必要的配置文件,...
java中Session的销毁
qq_32364281的博客
02-13 828
tomcat默认的session超时间为30分钟。 设置session超时有两种方式: 1.session.setMaxInactiveInterval(间);//单位是秒 2.在web.xml配置 10   //单位是分钟
日志审计-一些笔记
5L2g556F5ZWl77yf
01-06 1043
前言 发生攻击行为以后,处理完应急事件后,第二间就是追踪溯源,找到事件负责人,承担人。 1. 日志分析 统计IP访问地址,HTTP状态码 过滤关键字 如: script、select、from、echo、bash、.sh等 异常请求 4xx请求,5xx请求 web常见的日志目录 名字一般以间戳命名打包 apache的日志路径一般配置在httpd.conf的目录下或者位于/var/log/http IIS的日志默认在系统目录下的Logfiles下的目录当中 tomcat 一般位于tomcat安装目录
Tomcat访问日志详细配置
09-27 447
在server.xml里的标签下加上 directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHosts="false"/> 就可以了,下面咱们逐一分析各
centos7开机启动tomcat
weixin_47250551的博客
03-18 368
自己写一个脚本,用来启动服务,例如start.sh(此处以tomcat为例) 执行命令,将脚本标记为可执行文件(添加可执行权限) chmod +x /home/start.sh 在/etc/rc.d/rc.local文件最后添加以下脚本 cd /home/ ./start.sh 查看rc.local文件是否有可执行权限,在centos7中如果没有做过设置一般是没有可执行权限的,如果没有可执行权限,执行以下命令设置脚本的权限 chmod +x /etc/rc.d/rc.local .
SECURITY:系统审计,服务安全(nginx,tomcat),数据库安全
LgMizar的博客
12-27 953
文章目录系统审计概述什么是审计审计的案例配置审计查看并分析日志手动查看日志通过工具搜索日志服务安全Nginx安全优化Nginx服务的安全配置启用自动索引文件目录(慎用!!!)修改版本信息,并隐藏具体的版本号限制并发量拒绝非法的请求防止buffer溢出数据库安全初始化安全脚本密码安全数据备份与还原数据安全Tomcat安全性隐藏版本信息、修改tomcat主配置文件(隐藏版本信息)降级启动删除默认的测试...
Tomcat安全配置
沧笙踏歌的博客
06-02 3600
删除webapps目录中的docs、examples、host-manager、manager等正式环境用不着的目录,这一步就可以解决大部分漏洞。有的网站没删除manager页面,并且管理员弱口令,导致直接Getshell删除webapps目录下的自带项目。
tomcat统计日志配置.pdf
10-08
Tomcat服务器中,日志记录对于监控应用性能、排查问题和进行数据分析至关重要。Tomcat提供了访问日志功能,可以通过配置来记录用户的访问行为。本文将深入探讨如何配置Tomcat的访问日志以及如何利用这些日志进行...
tomcat + cas
06-20
CAS的目标是简化Web应用程序的安全管理,提高用户体验,并提供审计安全日志功能。 **集成CAS与Tomcat** 在"Tomcat + CAS"的环境中,CAS服务端作为认证中心,处理所有用户的登录请求。客户端Tomcat应用(client1...
开启并设置tomcat的访问日志
weixin_34284188的博客
11-06 1132
首先在默认情况下tomcat是不开启访问日志的。而且tomcat日志文件路径默认存储在tomcat安装路径下的logs文件夹内。我们首先编辑 ${catalina}/conf/server.xml 文件。 解释 :${catalina} 是 tomcat 的安装目录。本篇中我们编辑文件路径为/usr/local/tomcat6/conf/server.xml。执行命令nan...
tomact中日志说明
小王同学的博客
01-05 1207
前言: 我们常需要看tomcat运行的一些日志文件。观察其运行状态。 1、官方详细说明地址 http://tomcat.apache.org/tomcat-6.0-doc/config/valve.html 2、详细说明 %a - 远端IP地址 %A - 本地IP地址 %b - 发送的字节数,不包括HTTP头,如果为0,使用"-" %B - 发送的字节数,
tomcat没有日志输出--解决办法
weixin_34146410的博客
05-22 1万+
程序没有问题,只是控制台信息卡,感觉像程序休眠了一样 ,然后在控制台点backspace或是enter ,程序恢复正常,控制台日志正常输出.静态文件访问可以。解决办法: 转载于:https://blog.51cto.com/13693838/2398287...
如何开启Tomcat日志记录功能
热门推荐
Jack Zhu
11-19 1万+
如何开启Tomcat日志记录功能 Tomcat日志记录功能默认是关闭的,直接将conf文件夹下的server.xml配置文件中的注释去掉:       directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolveHost
tomcat日志相关
yingmu3630的专栏
04-16 144
Tomcat 日志分为下面5类: catalina 、 相当命令行输出日志 localhost 、 相当于localhost主机的命令行输出日志,尤其是一些异常日志,可以从此日志查看 manager 、 管理的日志 admin 、 host-manager 应该是虚拟主机方面 每类日志的级别分为如下 7 种: SEVERE (highest value) > WAR...
Tomcat 部署安全性配置
ice_bird的专栏
02-17 1321
Tomcat 部署安全性配置,修改配置前做好备份记录!修改配置前做好备份记录!修改配置前做好备份记录! 开启日志记录,以便于排除错误和发生安全事件,进行分析和定位 1、修改Tomcat根目录下的conf/server.xml文件。 2、取消Host节点下Valve节点的注释(如没有则添加)。 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_acces
Apache Tomcat九项安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 4088
一、开启日志记录 | 安全审计 描述 Tomcat需要保存输出日志,以便于排除错误和发生安全事件,进行分析和定位 检查提示 – 加固建议 1、修改Tomcat根目录下的conf/server.xml文件。 2、取消Host节点下Valve节点的注释(如没有则添加)。 <Valve className=“org.apache.catalina.valves.AccessLogValve” directory=“logs” prefix=“localhost_access_log” suffix=".t
tomcat安全加固
最新发布
菜鸟学安全的博客
12-11 712
tomcat常见的安全加固内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值