web服务器分层架构的资源文件映射安全以及在J2EE应用中的利用与危害

最新推荐文章于 2021-04-02 12:08:53 发布
最新推荐文章于 2021-04-02 12:08:53 发布
阅读量355 收藏
点赞数

0x00 相关背景介绍

通常一些web应用我们会使用多个web服务器搭配使用,解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等!

例如:Nginx+ Tomcat的分层结构(在下文中,我们也使用此例说明相关问题)

Nginx是一个高性能的 HTTP 和 反向代理 服务器 。

通常,我们是通过它来解决一些静态资源(如:图片、js及css等类型文件)访问处理。

Nginx详细介绍:http://baike.baidu.com/view/926025.htm

Tomcat服务器是一个免费的开放源代码的j2ee Web 应用服务器。

其中,它有一个比较明显的性能缺陷,那就是在处理静态资源特别是图片类型的文件特别吃力。从而能与Nginx(Ningx在处理静态资源方面性能特别优秀) 成为好基友!

Tomcat详细介绍:http://baike.baidu.com/view/10166.htm

0x01 成因

但正是由于这种处理方式或分层架构设计,如果对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题(特别是在j2ee应用中表现更为严重)!

例如:Tomcat的WEB-INF目录,每个j2ee的web应用部署文件默认包含这个目录。

WEB-INF介绍:http://baike.baidu.com/view/1745468.htm

通常情况我们是无法通过Tomcat去访问它的,Tomcat的安全规范略中,它是一个受保护的目录。

为什么受保护了?我们来看看,它里面有什么:

点我看全文

ak619
关注
系统架构设计师【第2章】: 计算机系统基础知识 (核心总结)
数据知道的博客
05-29 6692
计算机系统 (Computer System)是指用于数据管理的计算机硬件、软件及网络组成的系统。它是按人的要求接收和存储信息,自动进行数据处理和计算, 并输出结果信息的机器系统。计算机系统可划分为硬件(子系统)和软件(子 系统)两部分。硬件由机械、电子元器件、磁介质和系统光介质等物理实体构成,例如处理器(含运算单元和 控制单元)、存储器、输入设备和输出设备等。软件是一系列按照特定顺序组织的数据和指令,并控制硬件完成指定的功能。可将计算机软件进一步分为系统软件和应用软件:系统软件。
案例分析2
zylg
10-18 3817
文章目录17年151413 17年 试题一 阅读以下关于软件架构设计的叙述,在答题纸上回答问题1至问题3 。 【说明】 某软件公司为某品牌手机厂商开发一套手机应用程序集成开发环境,以提高开发手机应用程序的质量和效率。在项目之初,公司的系统分析师对该集成开发环境的需求进行了调研和分析,具体描述如下: a.需要同时支持该厂商自行定义的应用编程语言的编辑、界面可视化设计、编译、调试等模块,这些模块产生的模型或数据格式差异较大,集成环境应提供数据集成能力。集成开发环境还要支持以适配方式集成公司现有的应用模拟器工具。
对象关系映射的一些问题及对策
zhou198806的专栏
05-02 1368
(一)   ORM简介1.1             ORM的技术背景对象---关系映射(ORM)是一种为了解决面相对象与关系数据库存在的互不匹配的现象的技术。简单的说,对象---关系映射(ORM)是通过使用描述对象与数据库之间映射的元数据,将面向对象程序自动持久化到关系数据库。本质上是将数据从一种形式转化到另一种形式,这也同时暗示着额外的执行开销。然而,如果对象---关系映射(ORM)
文件映射问题
面朝大海 春暖花开
08-03 1104
内存映射文件并不是简单的文件I/O操作,实际用到了Windows的核心编程技术--内存管理。所以,如果想对内存映射文件有更深刻的认识,必须对Windows操作系统的内存管理机制有清楚的认识,内存管理的相关知识非常复杂,超出了本文的讨论范畴,在此就不再赘述,感兴趣的读者可以参阅其他相关书籍。下面给出使用内存映射文件的一般方法:           首先要通过CreateFile()函数来创建或打开一
分层模式常见问题
蔡超的专栏
03-16 1597
引言分层结构是目前复杂应用系统开发时普遍使用的模式,软件层之间的依赖关系约束是比较宽松的,并不要求上层仅可以依赖于直接下层,而是上层可以依赖于它的所有下层。设计我们会把各种系统的各种组件映射至不同层,而在我所接触的一些实际项目设计人员在映射这种组件和层间的关系时经常无意破坏了层结构的依赖关系约束。图表 1 典型分层结构设计常见问题问题一:数据传输对象(DT
标准Web系统的架构分层
热门推荐
JAVA入门中
06-22 10万+
标准Web系统的架构分层 标准Web系统架构适用于传统的基于WEB浏览器/手机端的CRM系统、ERP系统、SaaS系统、O2O系统、商城系统、物流系统。架构的灵活性和业务适应性决定了不同的系统根据业务形态、访问量、安全性所作出的架构设计也是不一样的。 但是无论系统怎么设计,负载层、业务层、业务通信层、数据存储层、数据挖掘层的分层特点肯定是不会变的。
基于JSP+Servlet校园二手交易平台
mengyu965的博客
04-02 5581
源码下载 http://www.byamd.xyz/hui-zong-1/ 基于JSP/Servlet校园二手交易平台 摘 要 本系统采用JSP/servlet技术,是使用Java编程语言编写的一套校园网二手交易平台软件。系统采用的是最近几年流行的B/S开发模式,以互联网方式运行,服务器端只需要安装本系统,而客户端用户只要可以上网,就可以非常方便快捷的通过浏览器访问系统,浏览和发布二手交易信息,免去了传统的C/S模式下复杂的安装、配置、维护等操作。同时由于使用面向对象的Java语言,所以本系统也具有J
mybatis写配置映射文件时遇到的各种问题
weixin_42825534的博客
08-29 556
mybatis写配置映射文件时遇到的各种问题sql语句传入参数时多种数据类型Sqlsession自动提交事务sql语句使用sql语句传入参数时多种数据类型 findCondition(int id,string name),参数类型不同的方法 此时映射文件的parameterType就不可以使用int 或者String 了 而是在UserDao的接口类 public User findCondition(@param("id) int id,@param(name") string name)加上
java 项目遇到的问题 和解决方案_java开发常见的问题及解决办法 - java开发遇到的难点有哪些_java开发常见的问题及解决办法...
weixin_35720035的博客
02-13 1万+
java开发常见的问题及解决办法1、 索引越界异常。当访问某个序列的索引值小于0或大于等于序列大小时,抛出该异常, java.lang.IndexOutOfBoundsException。遇到该问题,需检查索引值是否正确2、空指针异常。这个是java开发最常见的问题之一,碰到空指针异常,首先需要定位是哪一句出现了异常,然后再判断是那个对象出现了异常,常用debug模式进行调试3、类型转换异常,j...
web服务器-------动静分离
flower1q84的博客
01-27 3424
一、静态页面 静态页面,是指互联网架构,几乎不变的页面(或者变化频率很低),例如: 首页等html页面 js/css等样式文件 jpg/apk等源文件 二、动态页面 动态页面,是指互联网架构,不同用户不同场景访问,都不一样的页面,例如: 百度搜索结果页 淘宝商品列表页 速运个人订单心页 这些页面,不同用户,不同场景访问,大都会动态生成不同的页面。 动态页面,有
Java Web的Action、Dao、Service、Model
CV_2013的专栏
07-01 1458
Refer from http://blog.csdn.net/zhangdong305/article/details/48048003 首先这是现在最基本的分层方式,结合了SSH架构。modle层就是对应的数据库表的实体类。Dao层是使用了Hibernate连接数据库、操作数据库(增删改查)。Service层:引用对应的Dao数据库操作,在这里可以编写自己需要的代码(比如简单的判断)。A
如何读懂Web服务的系统架构
weixin_33726313的博客
03-02 1375
Web服务的一个重要特点就是流量大、数据多,仅靠一台服务器肯定难以支撑大规模的服务。 所以我们经常会看到诸如以下的一些术语,教人好生不懂: *:系统架构、物理架构Web服务基础设施 *:应用服务器 *:数据库服务器 *:索引服务器 *:反向代理服务器 *:缓存服务器 *:分布式、可扩展性 *:cpu负载、IO负载 如果你也不懂,那么本文对你来说就是一个很好的开始,关于web服务...
WEB应用间层的分层架构设计总结
lein_wang的专栏
07-28 1万+
转自:点击打开链接http://blog.sina.com.cn/s/blog_4c925dca0101jb4q.html 阿堂管理Pos项目团队一年半多时间,由于公司业务的调整,近期又调回到移动项目团队管理了。在Pos团队时一直比较忙,这段时间在忙于带队开发基于微信公众平台的公司移动业务应用,业余时间又在研究IOS技术,一直没有时间去写点什么了。       正寻思写点什么呢?刚
EntityFramework之领域驱动设计实践(二)
weixin_33856370的博客
07-07 178
分层架构 在引入实例以前,我们有必要回顾,并进一步了解分层架构。“层”是一种体系结构模式[POSA1],也是被广大软件从业人员用得最为广泛而且最为灵活的模式之一。记得在CSDN上,时常有朋友问到:“分层是什么?为什么要分层?三层架构是不是就是表现层、业务逻辑层和数据访问层?” 到这里,你可能会觉得这些朋友的问题很简单,分层嘛,不就是将具有不同职责的组件分离开来,组成一套层内部高聚合,层与层之...
J2EE开发工作遇到的异常问题及解决方法总结
05-15 2003
转自:http://blog.csdn.net/rchm8519/article/details/41624381 1. HttpClient I/O exception: 错误信息:I/O exceptioncaught when processing request:Connection timed out:connect 错误原因:IP不正确。...
服务器端 三层架构
陈如水的专栏
04-14 1万+
服务器端项目分包: 三层架构(3-tier architecture) 通常意义上的三层架构就是将整个业务应用划分为: 表现层(Presentation layer)、 业务逻辑层(Business Logic Layer)、 数据访问层(Data access layer)。区分层次的目的即为了“高内聚低耦合”的思想。在软件体系架构设计分层式结构是最常见,也是最重要的一种结构
J2EE应用系统的安全架构与认证授权策略
安全角色定义了一组权限的集合,管理员需要在系统部署过程映射安全角色和J2EE服务器用户,这个过程涉及的关键文档是部署描述符,它是XML格式的,包含了认证类型、源访问权限的约束以及系统安全角色的详细说明。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值