Web安全问题——设置文件目录不可访问(jetty)

最新推荐文章于 2021-06-03 19:26:55 发布
最新推荐文章于 2021-06-03 19:26:55 发布
阅读量1.3k 收藏
点赞数
分类专栏: JavaWeb 文章标签: java javaweb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyy1448019681/article/details/109273481
版权

   工作中新部署了一个web服务,被告知存在安全问题,原因是静态文件目录可访问,其实这是web系统的安全性测试中的一个很基础并且很重要的部分。
(1)目录列表测试
   目录列表可能造成信息泄漏,并且很容易被攻击,所以在测试过程中应该注意查找所有目录列表可能存在的漏洞。
   目在测试过程中可以使用一些工具对Web 服务器的目录列表进行测试。
(2)目录可访问,存在安全问题

(3)查阅资料后,发现可以通过修改web容器配置,设置文件目录不可访问,由于使用的是jetty,故修改了jetty的配置。
   找到jetty的安装目录,在ect目录下找到webdefault.xml文件,打开后修改dirAllowed属性为false即可,此时web容器会返回给客户端403错误。

配置属性:

  <param-name>dirAllowed</param-name>
  <param-value>false</param-value>
</init-param>
冬日蓝天lyyeagle
关注
专栏目录
Spring Boot进阶(20):「打造高性能Web应用」——使用Jetty容器配置Spring Boot
**My Coding Family**
03-10 5631
SpringBoot如何配置Jetty容器,赶紧来学,手把手教你~~
jetty服务器访问项目路径,jetty去掉项目名称访问
weixin_42386819的博客
08-04 700
对于web项目,访问路径是否包含项目名称等修改访问路径配置方式:我所使用的是maven进行管理,只需要在pom.xml中进行如下配置AutotestPlatformorg.eclipse.jettyjetty-maven-plugin9.2.7.v201501163/AutotestPlatform/80automatic主要修改配置:/这样,访问是localhost/ 上面是loca...
maven + jetty项目不能访问到正确路径的html页面
dw147258dw的专栏
11-22 1111
j今天部署了一个maven项目,具体的配置如下: spring-jetty.xml &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-i...
jetty解决目录
南有乔木的博客
05-15 2324
应用开发、部署用的jetty容器。安全监测发现有目录遍历的问题。即浏览器中输入目录地址就可以访问服务器上的文件,如下: 这是非常不安全的。解决该问题也很简单,比照网上Tomcat的解决方案,jetty也有defaultServlet配置的解决方案。在web.xml中添加配置即可,如下: <servlet> <servlet-name>default</servlet-name> <!-- <servlet-class>org.m
jetty中禁止访问WEB-INF目录
北欧巨墙
01-03 2613
应用服务器安全设置,一般都需要设置根目录禁止访问jetty中一般设置方法为: 在jetty\contexts\目录中,修改对应web项目的xml,如test.war对应test.xml, 打开test.xml,:       /webapps/test.war     false ...... 新增如下配置                  org.eclipse.jetty.
设置jetty文件目录不可访问方式
jessieliang的专栏
11-17 5263
webdefault.xml              *  acceptRanges      If true, range requests and responses are  *                    supported  *  *  dirAllowed        If true, directory listings are retur
jetty java 禁用目录列表_如何在Jetty中禁用服务器缓存
weixin_35853254的博客
02-17 173
出于性能原因,默认情况下Jetty会缓存静态资源(如属性文件)。举例来说,像这样的代码:如何在Jetty中禁用服务器缓存public class FrontServlet extends HttpServlet{private final Properties routes = new Properties();@Overridepublic void init()throws ServletEx...
jetty9下关闭目录访问(关闭目录遍历和关闭目录下的文件展示)
yf.z的专栏
12-07 5040
1. 找到jetty根目录下的 /etc/webdefault.xml 2. 找到default下的dirAllowed选项    dirAllowed true 把true改成false
Web中文乱码——2、SpringMVC+Jetty 乱码
fjqzju的专栏
03-26 2684
•背景 –contentType中指定为GBK –org.eclipse.jetty.util.URI.charset=UTF-8 •解决 –Get •newString(str.get(“utf-8”),” GBK”) –Post •方案1:newString(str.get(“ISO-8859-1”), ”GBK”) •方案2:setCharacterEncoding(“GBK
Java Web简单例程——MyWebProject
08-05
同时,优化数据库查询,合理设计数据库索引,以及处理并发请求等也是必不可少的。 综上所述,`MyWebProject`是一个涵盖Java Web基础、Servlet编程、数据库交互的实战案例,对初学者来说,这是一个很好的学习资源,...
web学习笔记 —— 数据源
05-25
在IT行业中,数据源是应用程序获取数据的关键环节。在Web开发中,数据源通常指的是连接到数据库或者其他数据存储系统的接口,使得应用...理解其工作原理和配置方式,对于开发高效、稳定的Web应用有着不可忽视的价值。
jetty java 禁用目录列表_Apache httpd 目录列表禁用配置(options indexes)
weixin_39998521的博客
02-17 143
文章目录[隐藏]一、缺省情况目录列表可查看示例二、关闭options 中Indexes(关闭文件列表)三、关闭FollowSymLinks(关闭访问符号链接文件)Apache httpd服务器在缺省的情况下,开启了基于目录列表的访问,这是一个存在安全隐患的问题,因此可以关闭这个功能。在Apache 2.4的版本中,不在支持使用-indexes来配置,需要注释该功能。本文对此给出演示,供大家参考。一...
web项目中禁止用户访问一些目录或目录中的文件
雪的期许
05-03 4657
web项目中的web.xml文件中进行配置,或者增加过滤器: 1.可以在web.xml文件中增加: <security-constraint> <web-resource-collection> <web-resource-name>Forbidden</web-resource-name>...
jetty8.1.3禁止web目录列表
05-06 628
只需要在jetty的contexts的对应web服务的xml里做如下修改即可(红色字体部分): <Configure id='wac' class="org.eclipse.jetty.webapp.WebAppContext"> <Set name="con...
Apache+Tomcat整合后 禁止访问 WEB-INF目录
luinstein的专栏
10-21 4392
Apache+Tomcat整合后,两者的主目录指向了同一目录,比如/website/app,因为Tomcat需要在主目录或context下建一个WEB-INF目录,对于Tomcat来说,通过Tomcat的8080端口,是无法访问这个目录的,不过,对于apache来说,默认情况下,对这个目录有访问权,用户能直接访问http://localhost/WEB-INF/web.xml之类的来访问WEB-I
jetty 找不到html页面,记一次jetty 404问题排查修复
weixin_39689687的博客
06-03 551
问题现象:最近遇到一个很奇怪的线上问题:线上的管理后台web应用,经常在跑了一段时间后,访问出现404。image.png之前查过好几次日志,并没有报错或是其他异常,重新部署后又能正常访问了。直到最近又出现了,遂决定彻底查一下原因。观察到的现象是:1.管理页面无法正常访问,显示404。如上图。2.访问该应用的restful接口,可以正常返回。image.png原因定位通过现象可见,该应用并没有彻底...
jetty java 禁用目录列表_jetty禁用http put和delete等方法的方式
weixin_34409903的博客
02-17 286
1. 基于xml的配置方式Example Security ConstraintProtected Area/*DELETEHEADPUT2. springboot项目,容器是jetty,版本 springboot 2.X@Beanpublic JettyServletWebServerFactory createJettyServletWebServerFactory() {return new...
为什么在WEB-INF目录中的jsp不能直接访问
qq_44332021的博客
07-14 1201
将所有jsp文件拷贝到WEB-INF目录下,不能直接通过路径访问 因为WEB-INF目录中的内容不能直接访问,但能转发过来。 WEB-INF目录下的JSP页面不能通过地址栏直接访问WEB-INF目录下的文件不能直接被访问主要是出于安全考虑,当然如果不用考虑安全性的话,你可以直接把JSP页面放到WEB-INF外的webapp目录下,这样也可以直接访问。 ...
安装版jetty-9.4.6启动服务后,不能找到部署项目中WEB-INF下的资源文件
dongdong12345_的博客
06-20 770
由于刚开始接触jetty的缘故,部署项目的时候,按照网上的操作步骤,便将之前项目的war包 放在了安装目录中webapps下。 可是启动后,控制台总提示错误信息,如下: java.io.FileNotFoundException: E:\jetty-9.4.6\resources\WEB-INF\allowPath.xml (系统找不到指定的路径。) 注:allowPath.xml是我项目
CXF框架与Web服务:使用与问题解决
在使用CXF框架时,首先你需要了解Web服务的核心概念——Web Service Description Language (WSDL)。WSDL是一种XML格式的规范,用于描述Web服务的接口,包括服务的位置、消息格式以及调用服务的方法。CXF提供了一套...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值