Tomcat安全配置策略

最新推荐文章于 2023-09-26 00:21:16 发布
最新推荐文章于 2023-09-26 00:21:16 发布
阅读量276 收藏
点赞数
分类专栏: 干货满满 文章标签: tomcat 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liubulong/article/details/127243048
版权
干货满满 专栏收录该内容
20 篇文章 4 订阅 ¥29.90 ¥99.00
订阅专栏

1. 前言
        前几天要测试线上命令监控功能,将java-sec-code应用打包到线上的Tomcat进行命令执行测试,系统是在Tomat上运行的Java应用,所以去评估了公司发布系统的安全问题。结果发现一个很严重的安全漏洞,觉得有必要对Tomcat的安全配置进行总结和说明。

2. 基础知识
        首先,我们需要了解一些Tomcat基础知识,以便后续的理解。

2.1 war包部署
        war包在Tomcat里的部署逻辑:
        将war包cp到Tomcat的webapps目录
        重启Tomcat应用bin/shutdown.sh & bin/startup.sh
        这样,一个Java应用就可以在Tomcat下跑起来了。
具体操作步骤:
        使用命令mvn clean package打war包,生成的war包名叫java-sec-code-1.0.0.war,将该war包cp到Tomcat的webapps目录,路径后面跟上war包名就能访问相应的路了,http://localhost:8080/java-sec-code-1.0.0/rce/exec?cmd=whoami。
        如果不想在URL里出现war包名,可以将war包放在webapps/ROOT目录,该目录是Tomcat的根目录,默认是猫的首页。由于该目录不会随着Tomcat重启自动解压war包,所以需要手动解压war包jar xf java-sec-code-1.0.0.war。解压完成后,会出现WEB-INF和META-INF目录,这两个目录通过HTTP协议默认都不能访问。所以webapps/ROOT目录除了WEB-INF和META-INF,其他都应该被删除。

了解本专栏 订阅专栏 解锁全文
Leo0718
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
ubuntu18.04 + Tomcat安装及配置
01-09
买完后,你要看下你的服务器安全策略组8080有没有打开,腾讯阿里都是默认没打开的,照这这个帖子查看设置下。确保你的服务器8080端口打开了 https://blog.csdn.net/WernerZeiss/article/details/80887763 远端OS是...
Tomcat安全配置
沧笙踏歌的博客
06-02 3477
删除webapps目录中的docs、examples、host-manager、manager等正式环境用不着的目录,这一步就可以解决大部分漏洞。有的网站没删除manager页面,并且管理员弱口令,导致直接Getshell删除webapps目录下的自带项目。
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
热门推荐
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求头 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
【技术分享】Tomcat基线安全
ff00yo的博客
04-18 1279
01前言 前几天@wilson师傅要测试线上命令监控功能,将我写的java-sec-code (https://github.com/JoyChou93/java-sec-code) 应用打包到线上的Tomcat进行命令执行测试,想到公司发布系统是在Tomat上运行的Java应用,所以去评估了公司发布系统的安全问题。结果发现一个很严重的安全漏洞,觉得有必要对Tomcat安全配置进行总结和说明。...
配置web应用服务的Content-Security-Policy
CSDN技术支持
11-13 2万+
1.Tomcat中原生的Security 2.配置Tomcat的web.xml 3.配置html的META                                                                                  Tomcat中原生的Security Tomcat中的安全管理原理基本与前面JDK中的security类似,只是启动时需要...
tomcat漏洞修复
m0_61069946的博客
03-19 4513
X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
【WEB】Tomcat基础使用知识
weixin_33953249的博客
03-18 157
由于当前项目性质原因,从开始到现在使用的WEB服务器都是WAS,而Tomcat的基础知识也慢慢地被遗忘。由于种种原因,让我参与到了另外一个全新的项目,使用的是Tomcat6.X,所以复习是必须的,而写却却是复习的一种高效手段。 一、Tomcat的基本配置 /conf/是Tomcat配置文件目录,该目录下的问题都是和WEB容器的配置相关,以下分别学习一下: conte...
windows server 2003安全策略
09-28
六、Windows server 2003使用安全策略禁止某ip访问服务器的方法 31 1、使用ip安全策略进行对其进行设置 31 七、Windows server 2003数据库SQL SERVER 2008只允许应用服务器访问,通过ip限制 35 八、SSL加密强制使用...
Tomcat配置管理实践
10-27
1,WEB SERVER介绍 2,TOMCAT目录结构 3,TOMCAT端口管理 ...5,TOMCAT配置数据库 ...14,TOMCAT安全策略 15,TOMCAT的URL编码格式 16,TOMCAT传输压缩 17,TOMCAT集群和负载均衡 18,ECD部门AP(TOMCAT)部署规范
Tomcat最佳实践.rar
07-27
Tomcat最佳实践 1,WEB SERVER介绍 2,TOMCAT目录结构 3,TOMCAT端口管理 ...14,TOMCAT安全策略 15,TOMCAT的URL编码格式 16,TOMCAT传输压缩 17,TOMCAT集群和负载均衡 18,ECD部门AP(TOMCAT)部署规范
TOMCAT最佳实践
04-02
1,WEB SERVER介绍 2,TOMCAT目录结构 3,TOMCAT端口管理 ...5,TOMCAT配置数据库 ...14,TOMCAT安全策略 15,TOMCAT的URL编码格式 16,TOMCAT传输压缩 17,TOMCAT集群和负载均衡 18,ECD部门AP(TOMCAT)部署规范
Tomcat 安全配置与性能优化
weixin_34067102的博客
01-27 344
       Tomcat 是 Apache软件基金会下的一个免费、开源的WEB应用服务器,它可以运行在 Linux 和 Windows 等多个平台上,由于其性能稳定、扩展性好、免费等特点深受广大用户喜爱。目前,很多互联网应用和企业应用都部署在 Tomcat 服务器上,比如我们公司,哈。       之前我们 tomcat 都采用的是默认的配置,因此在安全方面还是有所隐患的。上周对测试环境的所有服...
java tomcat pol_可以将Tomcat 7配置为插入“Content-Security-Pol...
weixin_28870939的博客
03-07 756
一旦使用Tomcat 7.x built in filters无法实现,您可以尝试以下选项之一:在应用程序中创建过滤器如果向应用程序添加过滤器是一个选项,则可以使用以下代码为每个响应添加标头:@WebFilter("/*")public class MyFilter implements Filter {@Overridepublic void doFilter(ServletRequest re...
Content-Security-Policy设置
xiehuixu9235的博客
11-12 5948
最近处理web安全遇上问题特记录此博客地址. https://www.cnblogs.com/heyuqing/p/6215761.html感谢收集的信息对我产生帮助
Tomcat作用解释、端口与安全配置
一个博客
09-26 665
Tomcat的体系结构是一个多层次的架构,由不同的组件组成,每个组件负责不同的功能。下面是Tomcat的主要组件及其功能和作用的简要介绍:通过这些组件的协作,Tomcat能够接收并处理来自客户端的请求,并将生成的响应返回给客户端,从而实现了Java Web应用程序的运行和托管。
NGINX和Tomcat安全配置(NGINX响应头等)
weixin_39076313的博客
07-07 1378
NGINX和TOMCT安全配置
Tomcat基线检查
gd0913的博客
04-20 1779
既无权访问非必须的文件,又不能执行非必须的程序 威胁等级:High 规则描述 缺省情况下,Java运行时根据运行它的用户授予安全权限。当Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。并且Servlets(JSP在运行过程中要转换成Servlets)取得了同样的权限。所以Java代码可以调用Java SDK中的文件API列出文件夹中的全部文件,删除任何文件,最大的危险在于以系统权限运行
Web 安全之内容安全策略详解(Content-Security-Policy,CSP)
乌龙茶不甜的博客
04-27 1万+
1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行内联代码(2.CSP 使用方式 CSP可以由两种方式指定: HTTP Header 和 HTML。 通过定义在HTTP header 中使用: "Content-Security-Policy:" 策略集 通过定义在 HTML me
tomcat8配置跨域
最新发布
11-10
跨域问题是由于浏览器的同源策略导致的,同源策略是浏览器的一种安全策略,它限制了一个源(协议 + 域名 + 端口)的文档或脚本如何能与另一个源的资源进行交互。为了解决跨域问题,可以在Tomcat 8中进行如下配置: 1. 在Tomcat 8的conf目录下找到web.xml文件,在文件末尾添加如下代码: ```xml <filter> <filter-name>CorsFilter</filter-name> <filter-class>org.apache.catalina.filters.CorsFilter</filter-class> <init-param> <param-name>cors.allowed.origins</param-name> <param-value>*</param-value> </init-param> </filter> <filter-mapping> <filter-name>CorsFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 2. 重启Tomcat 8服务器。 上述配置中,我们使用了Tomcat 8自带的CorsFilter过滤器来解决跨域问题。在filter标签中,我们指定了过滤器的名称为CorsFilter,并指定了过滤器的类为org.apache.catalina.filters.CorsFilter。在init-param标签中,我们指定了允许跨域访问的源,这里使用了通配符*,表示允许所有的源进行跨域访问。在filter-mapping标签中,我们指定了过滤器的映射路径为/*,表示对所有的请求进行跨域过滤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leo0718

你的鼓励就是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值