Tomcat部署程序避免jsp木马攻击

最新推荐文章于 2022-06-30 15:51:31 发布
最新推荐文章于 2022-06-30 15:51:31 发布
阅读量2.5k 收藏 2
点赞数 1
分类专栏: Java基础 网络应用 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SJZYLC/article/details/89073925
版权

JSP的本质是servlet,当外面攻击者将jsp文件上传到程序目录下,就能通过访问jsp文件进行服务攻击,可以通过程序避免jsp文件上传。

如果jsp文件已经上传上去,可以避免jsp文件被直接访问,思路是通过servlet对*.jsp、*.jspx文件进行过滤,核心代码如下:

Servlet文件:

Object flag = request.getAttribute("org.apache.catalina.core.DISPATCHER_TYPE");
        if (flag != null)
        {
            if ((("javax.servlet.DispatcherType".equals(flag.getClass().getName())) &&
                    ("REQUEST".equals(flag.toString()))) || (
                    ((flag instanceof Integer)) && (((Integer)flag).intValue() == 8))) {
                response.setContentType("text/html;charset=UTF-8");
                Writer writer = response.getWriter();
                boolean isJspExist = new File(request.getServletContext().getRealPath(request.getServletPath())).exists();
                String htmlOutput = isJspExis
最低0.47元/天 解锁文章
SJZYLC
关注
专栏目录
tomcat 8.0.23-win-x64免安装版本
08-10
【Apache Tomcat 8.0.23-Win-x64 免安装版本】是针对Windows 64位操作系统设计的一款轻量级Web服务器和应用服务器,尤其适用于那些希望快速部署且无需进行复杂安装过程的用户。这个版本的Tomcat是绿色版,也称为便携...
JSP 木马—》被攻击 学习下
mhjzqq923的专栏
10-13 1356
昨天我的服务器被攻击了,我初步怀疑是通过tomcat的安全漏洞进去的,所以发布了上篇日志进行修补。 刚才工程师告诉我是通过暴力破解ftp进去的,并且新建win用户,搞乱的系统。 我发现我的tomcat服务路径下多了两个 war包 一个是改名为101的,一个名为killbase的 两个路径里都只有一个jsp文件  但代码相同(看来是被两个人攻击了) 该代码大概
Jsp文件类型以及大小限制上传
少年程序郎
05-19 3505
限制上传: 类型、 大小 注意 对文件的限制条件 写再parseRequest之前 <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html> <html> <head&...
终于搞定tomcat访问不了jsp
青梅煮酒
12-01 6347
1、nginx本身解析不了jsp文件,只能通过反向代理。 2、tomcat是一个独立的容器,拥有默认的文件目录。$tomcat/webapps/Root 3、$comcat/conf/server.xml  不允许用#号来注释文档。 备注: nginx默认配置文件 /usr/local/webnginx/nginx/conf/nginx.conf 开启tomcat /us
tomcat禁止访问路径与文件、错误页面跳转配置
u011393648的博客
03-30 4985
tomcat禁止访问文件与文件目录 最近项目扫描的时候遇到一个问题,需要在tomcat中限制对包含项目信息文件的访问,在使用eclipse写项目是,会生成一个.project文件,这个文件里面包含了项目的关键信息,而且有时候删除扔能继续访问,于是只能对这个文件限制web访问,否则会存在安全漏洞,以下是解决办法: 在tomcat/conf/web.xml中加入以下代码 <security-constraint> <display-name>Forbidden</displ
渗透测试-Tomcat远程代码执行漏洞
道阻且长,行则将至。
08-07 2044
前言 漏洞编号:CVE-2017-12615 影响范围:Apache Tomcat 7.0.0 – 7.0.81 漏洞概述:当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。...
tomcat5.5 6.0
04-17
Tomcat是一个流行的开源Java Servlet容器,它实现了Java EE(现在称为Jakarta EE)的Web应用程序部分,特别是Servlet和JSP(JavaServer Pages)规范。以下是这两个版本的详细信息: **Apache Tomcat 5.5** - Tomcat...
tomcat7.0.53和帮助文档
05-18
标题中的“tomcat7.0.53”指的是Apache Tomcat服务器的一个具体版本,这是一个开源的应用服务器,专门用于运行Java Servlets和JavaServer Pages(JSP)。Tomcat是Java EE(现在称为Jakarta EE)规范的一部分,特别是...
jop.war
08-06
这个特定的文件名为 "jsp 小马",暗示它可能包含了一个恶意的JSP木马。 【描述】描述中提到的 "jsp 小马" 是一种网络攻击手段,攻击者利用了Tomcat服务器的漏洞,特别是针对未设置或存在默认空密码的情况。攻击者...
JSP_高频率使用tomcat服务器的配置,开启,关闭
cat marshal的博客
05-28 324
tomcat介绍 tomcat是Servlet容器,支持JSP、Servlet、JDBC等J2EE关键技术,常用于tomcat开发基于数据库、Servlet和JSP页面的Web应用。 tomcat不是EJB容器,其他三种是,EJB是分布式应用的核心技术,所以说凡是需要EJB来开发的应用(如银行、电信等大型的分布式应用系统)就不能用tomcat了。 几种web服务器比较 weblogic(Oracl...
基于Tomcat环境下运行JSP文件(基础版)
路与肥的博客
06-30 6415
JSP:Java Server Pages。在传统的HTML文件(*htm,*.html)中加入Java程序片段(Scriptlet)和JSP标记(tag),就构成了JSP网页。1)访问JDK官网(https://jdk.java.net),下载JDK压缩包;2)使用管理员权限运行安装JDK文件,详细安装步骤省略,默认下一步至完成即可;注:注意安装路径选择,将用于后续配置环境变量;3)安装完成,在安装路径下会出现jdk和jre的两个文件夹;4)配置电脑系统Java环境变量;在“系统变量”中设置三项属性,JA
nginx服务器禁用相关请求/不安全请求
qq_39198749的博客
09-29 2156
1. nginx禁用指定请求 直接return 403即可 location = /testUrl { return 403; } 上述配置将只禁用http://ip:port/testUrl 的请求 2. nginx禁用不安全的请求 仅保留 GET、POST 方法 全局配置方式 server { listen 80; server_name www.iwen.com; #return 301
解决Nginx做主服务器与Tomcat整合下无法加载JSP中静态资源的问题
摩尔的博客
03-09 4424
背景: 最近需要整合新编写的实名注册模块,原系统是采用Nginx+PHP,而新编写的这个模块采用的是TomcatJSP,这个就需要好好的研究一下如何上线了,主要涉及到了Nginx的配置文件,因为Nginx静态代理的问题,我们需要在PHP中跳转到JSP页面中,但这也带来了很多问题:比如如何切换访问端口问题,比如JSP中的静态页面无法正常加载的问题。。 建议阅读前,请先熟悉下Nginx的...
NGINX安全配置和限制访问
sd4493091的博客
09-28 1940
说起网络攻击,可能很多人只知道大名鼎鼎的DDOS攻击,这种攻击廉价且效果出众,直接通过第四层网络协议用他的带宽把你的带宽顶掉,造成网路阻塞,防不胜防,就连腾讯这种大鳄公司也被大流量DDOS搞过焦头烂额。暂时的解决方法只有三种,第一种就是你要够有钱,买强大的高级防火墙,或者使用的带宽足够大,无视这些网络流量。第二种是技术足够强,例如个别有技术的大牛公司(阿里),用类如DPDK的高效数据包处理驱动,开发出流量清洗服务,把垃圾网络包过滤掉,不过同时也会影响正常的网络包,增加延时。第三种就是钱不多的公司多数使用的方
入侵Tomcat服务器一次实战
dianyimo9099的博客
10-08 780
到网上随便逛逛,我就会发现用JSP制作的电子商务网站多如牛毛,从JSP日渐繁荣的局面来看,适合于各种平台而且免费的Tomcat逐渐成为WEB服务器的一种选择。eBay.com与Dell计算机等知名网站都采用或者曾经采用Tomcat的Container容器执行Servlet 与JSP,可想而知这个服务器软件所具有的前途。那他们的安全性如何呢?一起来看看吧!   小知识:T...
JSP注入攻击tomcat服务器小案例
参与感
04-25 8585
最近学了文件上传下载,但是注意到了一个问题,用户上传普通的比如图片小说,这是没有问题的,但是,如果用户上传了一个可以在服务器执行的文件比如jsp,这问题可就大了。 先演示一段jap注入攻击,假定上传的文件我们放在tomcat的根目录下: 这是上传页面代码 名称: 艳照: 这是servlet处理上传的代码 public void doGet(Htt
JAVA防止任意文件上传,Tomcat任意文件上传漏洞以及环境配置
weixin_34893555的博客
03-16 1350
0x00安装Tomcat需要配置Java环境,因为Tomcat好像是用Java写的,主要是需要用到jre0x01在Windows下Tomcat的相关配置:Tomcat版本:7.0.79Tomcat运行环境:JDK 8.0在运行Tomcat之前,需要配置环境变量环境变量1:在系统变量中新建一个,变量名:JAVA_HOME,变量值:安装JDK8.0的目录路径image.png环境变量2:新建一个系统变...
JSP入门:Scriptlet实现与Tomcat应用部署
9. 部署描述器(.war文件):打包后的Web应用程序,便于部署到服务器。 在JSP页面中创建一个简单的例子,如`index.html`、`login.jsp`和`contactus.jsp`,可能包含JSP页面`ViewBooks.jsp`,其中会使用到`AddBook....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值