Tomcat 7 released

最新推荐文章于 2024-11-09 09:09:16 发布
最新推荐文章于 2024-11-09 09:09:16 发布
阅读量119 收藏
点赞数
分类专栏: News & Commets 文章标签: tomcat

Change Log见此: http://tomcat.apache.org/tomcat-7.0-doc/changelog.html

看看都有什么新Feature(最显著的三个特征是Servlet 3.0,内存检测泄露和增强的安全特性):
1. 使用随机数去防止跨站脚本攻击;
2. 改变了安全认证中的jessionid的机制,防止session攻击;
3. 内存泄露的侦测和防止;
4. 在war文件外使用别名去存储静态内容;
5. 对Servlet 3.0,JSP 2.2和JSP-EL 2。2的支持;
6. 更容易将Tomcat内嵌到应用去中去,比如JBoss;
7. 异步日志记录。

详细分解:


1. 使用随机数去防止跨站脚本攻击:

Wikipedia将跨站请求伪造攻击(Cross Site Request forgery,CSRF)定义为:“一种影响Web应用的恶意攻击。CSRF让用户当进入一个可信任的网页时,被强行执行恶意代码。

Tomcat 7中有一个servlet过滤器,用于将随机数存储在用户每次请求处理后的seesion会话中。这个随机数,必须作为每次请求中的一个参数。 Servlet过滤器然后检查在请求中的这个随机数是否与存储在用户session中的随机数是一样的。如果它们是相同的,该请求是判断来自指定的网站。如果它们是不同的,该请求被认为是从其他网站发出并且会被拒绝。

String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM); 
String expectedNonce = (String) req.getSession(true).getAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME);

 

< c:url var="url" value="/show" > 
< c:param name="id" value="0" / > 
< c:param name="org.apache.catalina.filters.CSRF_NONCE" value="${session.org.apache.catalina.filters.CSRF_NONCE}" / > 
< /c:url >

 
2. 改变了安全认证中的jessionid的机制,防止session攻击:

原来的问题就是Cookie的JSESSIONID参数被其他主机劫持,问题很简单,看看是怎么解决的:

Tomcat 7对此的解决方案是一个补丁,它在验证后改变了jsessionid。也就是说,如果原jsessionid的用户并不在线,那么上线创建会话时验证用户,如果发现他是一个合法者,除了允许访问外,原有jsessionid废除,使用新值。由此可见,倘若该用户会话属于存活状态,如果第三方主机会话劫持并以该用户访问Tomcat,其安全机制并无法起到作用。


3. 内存泄露的侦测和防止:

只有有限的能力,包括部分如下情形:

• JDBC驱动的注册

• 一些日志框架

• 在ThreadLocals中保存了对象但没有删除它们

• 启动了线程但没停止

以及部分 Java API 存在内存泄漏的场景:

使用 javax.imageio API ( Google Web Toolkit会用到)

使用 java.beans.Introspector.flushCaches()

使用 XML 解析器

使用 RMI 远程方法调用

从 Jar 文件中读取资源


4. 在war文件外使用别名去存储静态内容:

Web应用程序需要静态资源文件,比如象CSS,Javascript和视频文件、图片文件等。通常都把它们打包放在war文件中,这将增加了WAR文件的大小并且导致很多重复的加载静态资源。一个比较好的解决方法是使用Apache HTTP服务器去管理这些静态文件资源。也有一种做法是使用Linux上面的mount功能,配置share目录来实现,当然静态资源还是用Apache服务器更有效率。

Tomcat允许使用新的aliases属性,指出静态文件资源的位置,可以通过使用Classloader.getResourceAsStream('/static/...')或者在链接中嵌入的方法让Tomcat去解析绝对路径,下面是一个在context.xml中配置的例子:

< ?xml version="1.0" encoding="UTF-8"? > 
< Context path="/Tomcat7demo" aliases="/static=/home/avneet/temp/static" > 
< /Context >

 

假设/home/avneet/temp/static这个文件夹存放有一张图片bg.png,如果war文件以Tomcat7demo的名字部署,那么可以通过以下三个方式去访问这张图片:

1.直接访问 http://localhost:8080/Tomcat7demo/static/bg.png
2.在HTML链接中访问:< img src="/Tomcat7demo/static/bg.png" / >
3.通过JAVA代码访问: ByteArrayInputStream bais = (ByteArrayInputStream)getServletContext().getResourceAsStream("/static/bg.png");


5. 对Servlet 3.0,JSP 2.2和JSP-EL 2.2的支持:Servlet 3的增强特性有:

• 可以在POJO或者过滤器filters中使用annotations注释(在web.xml中不再需要再进行设置了)
• 可以将web.xml分块进行管理了。也就是说,用户可以编写多个xml文件,而最终在web.xml中组装它们,这将大大降低web.xml的复杂性增强可读性。

• 异步处理web的请求,能让使用异步I/O的web应用程序可以移植到不同的web容器中。
异步处理使用非阻塞I/O,每次的HTTP连接都不需要对应一个线程。更少的线程可以为更多的连接提供服务。(这个应该是未来WEB容器的发展必备能力吧)

这对于需要长时间计算处理才能返回结果的情景来说是很有用的,比如产生报表,Web Servce调用等。
• 安全的增强---Servlet 3.0现在使用SSL去加强了会话session的跟踪,代替了原来的cookie和URL重写。(使用SSL对用户体验有什么影响么?比如要求HTTPS?)


6 更容易将Tomcat内嵌到应用去中去,比如JBoss:

象在CATALINA_HOME/conf/server.xml中的很多配置,现在都可以用程序动态去设置了。

下面是CATALINA_HOME/conf/server.xml中的一些相关属性和配置: 

< Server > 
< Service > 
< Connector port="8080 > 
< Engine > 
< Host appBase="/home/avneet/work/Tomcat7demo/dist" / > 
< /Engine > 
< /Connector > 
< /Service > 
< /Server >

 

我们可以通过程序去进行动态设置了:

final String CATALINA_HOME = "/home/avneet/work/temp/Tomcat7demo/"; 
Tomcat Tomcat = new Tomcat(); 
Tomcat.setBaseDir( CATALINA_HOME ); 
Tomcat.setPort( 8080 ); 
Tomcat.addWebapp("/Tomcat7demo", CATALINA_HOME + "/webapps/Tomcat7demo.war"); 
Tomcat.start(); 
System.out.println("Started Tomcat"); 
Tomcat.getServer().await(); //Keeps Tomcat running until it is shut down 
//Webapp Tomcat7demo accessible at http://localhost:8080/Tomcat7demo/

 
7 异步日志记录:

包括了一个异步日志记录器(AsyncFileHandler)。使用AsyncFileHandler,时,只需要在CATALINA_HOME/conf/logging.properties中把FileHandler全部替换为AsyncFileHandler就可以了。当有日志发向AsyncFileHandler时,日志被加入到队列中(java.util.concurrent.LinkedBlockingDeque)并且方法调用的信息会马上返回不需要等待I/O写到磁盘中。当类加载器加载AsyncFileHandler时,会有一个单独的线程启动,这个线程会从队列中读取日志信息并且写到磁盘中去。

Tomcat 7的自带程序例子有两个servlets,一个是演示了如何采用随机数的办法防止CSRF攻击,另外一个是描述了使用aliases。更新一下web/META-INF/context.xml,指出图片的绝对路径即可顺利运行。

通过ant运行build.xml去将它们部署到Tomcat 7中,使用如下两个地址访问:

http://localhost:8080/Tomcat7demo/csrf/

http://localhost:8080/Tomcat7demo/alias/


译文链接:http://jackyrong.javaeye.com/blog/774685 根据译文有修改。

 

RayChase
关注
专栏目录
主机扫漏:jQuery 跨站脚本漏洞修复建议 | 升级tomcat服务解决Apache Tomcat 环境问题漏洞(CVE-2023-46589)【安装多个tomcat服务】
iOS逆向与安全
05-13 1172
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr。Apache Tomcat存在环境问题漏洞,该漏洞源于存在不正确的输入验证漏洞,可能会导致将单个请求视为多个请求,从而在反向代理后面出现请求走私。
Tomcat 8.0下载 官网
热门推荐
浪丶荡
01-01 3万+
Tomecat 8 Tomecat 8.0 Tomecat 8系列版本下载教程 官网:https://tomcat.apache.org/ 选择Tomcat 8 默认首页推荐下载的是Tomcat 7.0.99 Released和Tomcat 9.0.30 Released以及Tomcat 8.5.50 Released 而需要的8.0或者其他的版本,选择上图红框中的Tomcat 8 选择Arc...
tomcat7打补丁版.rar
04-23
针对tomcat7存在漏洞升级补丁,漏洞影响的tomcat7版本为Apache Tomcat 7.0.0 to 7.0.93
Tomcat 7 released!
四火专栏
01-16 2671
废话一概不说,Change Log见此: http://tomcat.apache.org/tomcat-7.0-doc/changelog.html 看看都有什么新Feature(最显著的三个特征是Servlet 3.0,内存检测泄露和增强的安全特性): 1. 使用随机数去防止跨站脚本攻击; 2. 改变了安全认证中的jessionid的机制,防止session攻击; 3. 内存泄露的侦测和防止; 4. 在war文件外使用别名去存储静态内容; 5 对Servlet 3.0,
tomcat打补丁方法
08-11
tomcat打补丁方法
Tomcat漏洞修复方法【补丁下载及安装详细流程】
m0_67402235的博客
08-26 5463
目录访问tomcat的官网漏洞补丁网址会看到各个版本的tomcat的漏洞修复记录及方法例如 搜索CVE-2016-6797漏洞的补丁点击revision后的序列号 进入补丁修复界面,进来之后,可以看到详细的漏洞修复方法,及补丁http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.16...
Apache Tomcat 7.x安全加固指南
wuli1024的博客
12-14 1452
由于默认的错误页面会泄露一些内部信息(比如版本号和堆栈轨迹),所以应该用包含一般错误信息(比如处理您的请求时出错了)的自定义错误页面取而代之。此外,如果Manager应用程序没被移除,必须手动将位于CATALINA_HOME/webapps/manager/WEB-INF/jsp/的错误页面里的“Tomcat 7“版本信息移除。
apache tomcat 9.0.6
04-10
The Apache Tomcat software is developed in an open and participatory environment and released under the Apache License version 2. The Apache Tomcat project is intended to be a collaboration of the ...
Tomcat8.0.28 服务器
12-11
The Apache Tomcat software is developed in an open and participatory environment and released under the Apache License version 2. The Apache Tomcat project is intended to be a collaboration of the ...
apache-tomcat-8.0.33
02-26
The Apache Tomcat software is developed in an open and participatory environment and released under the Apache License version 2. The Apache Tomcat project is intended to be a collaboration of the ...
smp升级tomcat7.0.81安全补丁-部署验证方法说明
01-10
服务总线smp的tomcat-7.0.57存在安全漏洞,升级tomcat到7.0.81版本,已在公司测试环境、演示环境测试通过。
tomcat安全加固
12-09
tomcat服务器是多数用java开发的web站点首选之一,然而默认的安全选项并不是那么完美,此教程用于tomcat安全加固问题。
tomcat7需要进行升级,因为有漏洞,而且安装包没有做过优化处理
weixin_34343689的博客
10-09 452
http://www.open-open.com/lib/view/open1401931407228.htmlhttp://www.cnblogs.com/ggjucheng/archive/2013/04/16/3024731.html
记一次tomcat漏洞修复补丁升级
shipaiYang的博客
05-26 2万+
tomcat有安全漏洞,现在用的版本是tomcat8.5.3。 其中有一个漏洞描述是这样子的:Apache Tomcat Security Manager 安全限制绕过漏洞(CVE-2016-5018)(其它的可以参照这个解决) 绿盟给的建议是: 有两个解决方案,一是直接升级到高版本或是打漏洞补丁。之前打过补丁但后来发现方法是错的,最后是以升级到高版本解决问题的。 升级到高版本的方法,...
Tomcat(6) 什么是Servlet容器?
最新发布
qq_43012298的博客
11-09 333
/h1>");Servlet容器是Java Web应用的核心,它提供了Servlet的运行环境,并管理Servlet的生命周期。通过Servlet容器,开发者可以编写Servlet来处理HTTP请求和响应,实现动态Web内容的生成。Servlet容器通常与Web服务器(如Apache或Nginx)结合使用,提供完整的Web服务解决方案。
Apache Tomcat 7配置指南
- 在命令行中,执行`installutil.exe D:\Tomcat7\bin\tomcat7.exe`,这会安装Tomcat作为Windows服务。 4. 通过`Services.msc`管理服务界面,您可以启动、停止或配置新安装的Apache Tomcat服务。 完成以上步骤后,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值