J2EE安全应用___web.xml的安全配置

最新推荐文章于 2023-10-20 17:38:09 发布
最新推荐文章于 2023-10-20 17:38:09 发布
阅读量136 收藏
点赞数
分类专栏: Web应用安全 文章标签: XML Web Tomcat Security HTML
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaigehua1/article/details/83703855
版权
[color=red]------------------tomcat .5.5 测试可用----------------[/color]阅读声明: 本次案例,使用tomcat的[color=red]tomcat-users.xml[/color]文件
tomcat-users.xml提供了安全领域,这个文件会在tomcat启动时加载进内存,它足够用来
测试安全的配置效果。文件有如下内容:(如果没有,请复制到tomcat的conf文件夹) 
<tomcat-users>
   <role rolename="Admin" />
   <role rolename="Guest" />
   <role rolename="Member" />
   <user username="Annie" password="admin" roles="Admin,Member,Guest" />
   <user username="Diane" password="coder" roles="Member,Guest" />
   <user username="Ted" password="newbie" roles="Guest" />
</tomcat-users>

------我们可以看到,上面声明的一些角色role,并定义的几个用户user-----
------不难发现,一个用户可以有多种角色 ---------------------------
然后是web.xml配置以下信息: 
	<!-- 配置安全验证方式:1:BASIC-自己弹出对话框 2:FORM-自定义登录界面 -->
	<login-config>
		<!-- <auth-method>BASIC</auth-method>
		<realm-name>Random</realm-name>>-->
			<auth-method>FORM</auth-method>
			<form-login-config>
			<form-login-page>/login.html</form-login-page>
			<form-error-page>/error.html</form-error-page>
			</form-login-config>
	</login-config>
	<!-- 角色:来源tomcat-users.xml的<role>元素 -->
	<security-role>
		<role-name>Admin</role-name>
	</security-role>
	<security-role>
		<role-name>Member</role-name>
	</security-role>
	<security-role>
		<role-name>Guest</role-name>
	</security-role>
	<!--  指定角色特有资源-->
	<security-constraint>
		<web-resource-collection>
			<!--这个名字是必要的,虽然你不会看到它的显示调用 -->
			<web-resource-name></web-resource-name>
			<!-- 指定受约束的资源(可以多个) -->
			<url-pattern>/security/*</url-pattern>
			<!-- GET POST请求是受约束的 可以为:PUT/TRACE/DELETE/HEAD/OPTIONS-->
			<http-method>GET</http-method>
			<http-method>POST</http-method>
		</web-resource-collection>


		<!-- 授权给角色Admin Member,也就是拥有这两个角色其中之一的
			用户,通过GET/POST 可以访问前面指定的授权资源。 -->
		<auth-constraint>
			<role-name>Admin</role-name>
			<role-name>Member</role-name>
		</auth-constraint>
		<user-data-constraint>
			<transport-guarantee>NONE</transport-guarantee>
		</user-data-constraint>
	</security-constraint>


---------从上,你应该可以知道,这段XML保护的是应用上下文下security文件夹的资源
(应用上下文,对应你项目名称) ------------
你可以将我的配置复制:
并在上下文下新建security文件夹,随便建一个html
并,建立对应的 [color=red]login.html[/color] 和 [color=red]error.html[/color](当然,JSP和随便的命名是允许的,)[color=red]但是[/color]---------------------

注意:login.html有三个固定的元素,以下是我的html(如果你用JSP,请对[color=blue]j_security_check[/color]进行编码 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
  </head>
  <!--看到了没 j_security_check j_username j_password-->
<body> 
    <form action="j_security_check" method="POST">
    	<input type="text" name="j_username">
    	<input type="password" name="j_password">
    	<input type="submit" value="Enter">
    </form>
  </body>
</html>


上面的其中几个元素,有特殊规则如下 
特殊规则:
<role-name>:如果存在一个<auth-constraint>元素,却没有任何<role-name>,那么所有的
用户都遭到拒绝.就算有其它的<auth-constraint>也如此(注:<auth-constraint>可以配置
多个

<auth-constraint>:如果不存在,容器允许不经认证就能访问这些URL

<security-constraint>:可以多个,也导致它在可以出现同时两个对资源进行限制且请求
方式相同但限制指定角色不同 而这些不同在<auth-constraint>中,有以下四种情况:
1: Guest + Admin = (Guest,Admin)
2: Guest + * = (*) //即所有人
3: <auth-constraint/> + admin = ()//即没有人
4: 没<auth-constraint> + Admin = (*)//所有人
shuaigehua1
关注
专栏目录
webxml安全约束
almond8的博客
10-04 917
baseporject baseproject *.jsp *.do <!-- 没有http-method默认全部请求 --> GET PUT HEAD TRACE POST DELETE OPTIONS <!-- 没有auth-constraint默认所有用户都能访问 写了单内容为空
web.xml 安全配置
iteye_19950的博客
01-05 257
web.xml 的代码 &lt;security-constraint&gt;   &lt;display-name&gt;   baseporject&lt;/display-name&gt;   &lt;web-resource-collection&gt;    &lt;web-resource-name&gt;baseproject&lt;/web-resource-name&gt;  ...
J2EE 安全
asbss的博客
04-07 327
本文所介绍的内容是基于j2ee1.3版本的。 j2ee安全概念: 主体(Principal):主体(Principal)是被在企业安全服务验证了的实体。主体(Principal)用主体名作为它的标识,通过与主体相关的验证数据进行验证。通常情况下主体名就是用户的登陆名,验证数据就是登陆的密码。J2EE规范并没有限定J2EE 产品提供商使用怎样的认证方法,因此主体名和验证数据的内容和格式依不同的...
J2EEweb.xml配置文件详解
Leeon的博客
02-11 1万+
一、web.xml是什么 web.xml学名叫部署描述符文件,是在Servlet规范定义的,是Web应用配置文件,是Web应用的基础。 二、web.xml加载流程 总的来说:ServletContext——Listener——Filter——Servlet 1、首先Web容器创建一个ServletContext对象(对应JSP的application内置对象),这个Web
J2EE关于web.xml文件的配置
12-18
J2EE关于web.xml文件的配置
j2ee.rar_J2EE系统_j2ee 系统_j2ee.jsp
09-21
通常,一个J2EE项目可能包含Servlets、JSP页面、EJBs、配置文件(如web.xml、ejb-jar.xml)、数据库连接配置以及其他的辅助类。这些文件共同构成了一个完整的应用程序,用户可以下载并研究其架构和实现细节,以学习...
J2EE_5.0.rar_chm_j2ee 5 c++_j2ee5.0_j2ee5.0 api c++_j2ee5.0 api
09-21
2. **统一的注解(Annotations)**:大量使用注解替代XML配置,如`@EJB`, `@WebService`, `@PersistenceContext`等,提高了代码的可读性和可维护性。 3. **Java Persistence API (JPA)**:为数据持久化提供了标准...
j2ee_java_游戏论坛管理.zip
09-08
2. **配置文件**(.xml):如web.xml,定义了Web应用的部署描述符,用于配置Servlet、过滤器、监听器等。 3. **资源文件**:如数据库连接字符串、本地化文本、图片等。 4. **编译后的字节码**(.class):Java源代码...
J2EE.rar_hibernate_j2ee chm_spring_struts spring_struts spring i
09-14
Eclipse提供了强大的代码编辑、调试、构建和项目管理功能,支持J2EE应用的开发。通过安装各种插件,如WTP(Web Tools Platform),可以方便地进行Web和企业级项目的开发。 Struts是一个基于MVC(Model-View-...
java web.xml配置文件漏洞
m0_74317362的博客
08-04 127
一.介绍二.实例。
Web.xml配置文件泄露修复
dl1286670932的博客
12-21 3105
部署描述符文件描述了如何在 Servlet 容器(如 Tomcat部署 Web 应用程序。通常,此文件应该无法访问。但是,Acunetix WS能够通过使用各种编码和目录遍历变体来读取此文件的内容。由发现。
easy java (java WEB-INF/web.xml泄露)
aetlypdlg_ys的博客
03-29 314
WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件 /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用要求使用的jar文件,如数据库驱动jar文件 /WEB-INF/src/:源码目录,按照包名结构放置各个java文件。在使用这种架构的时候,由于对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致web.xml等文件能够被读取。
【漏洞挖掘】——62、WEB-INF/web.xml 泄露
最新发布
Fly_鹏程万里
10-20 1794
WEB-INF/web.xml信息泄露是一种常见的安全问题,通常发生在Web应用程序未被正确配置或管理的情况下,攻击者可以通过暴力破解或者其他手段访问WEB-INF目录下的web.xml文件从而获得Web应用程序的配置信息,例如:安全配置、数据库连接信息、API密钥等。
WEB-INF/web.xml泄露总结
热门推荐
王嘟嘟的博客
04-08 1万+
0x00 前言 WEB-INF/web.xml泄露漏洞的一些总结。 参考文章:http://www.anquan.us/static/drops/papers-60.html 0x01 基础知识 https://blog.csdn.net/qq_36869808/article/details/89084412 1.补充知识 TomcatWEB-INF目录,每个j2eeweb应用部署文件默认包...
java导致敏感信息泄漏的异常_金蝶AES系统Java web配置文件敏感信息泄露漏洞
weixin_42123296的博客
03-09 893
### 0x01 漏洞框架金蝶软件始创于1993年,是一家ERP、财务等企业管理软件厂商,拥有官网(kigndee.com)、友商网(youshang.com)、快递100(kuaidi100.com)、云之家(kdweibo.com)等互联网业务应用官方主页:www.kingdee.com客户案例:![](https://images.seebug.org/contribute/f1e376de...
WEB-INF/web.xml泄露漏洞及其利用
Mrs_H的博客
08-10 1万+
前言 之所以写这篇文章,是因为最近在做题的时候,做到了一个有关java的题目。因为对Java Web方面的开发经验很少,所以在做这道题的时候,查了一些关于Java Web相关的知识。感觉以后说不定还会用到,就以这篇文章来总结一下。 关于WEB-INF/web.xml 在了解WEB-INF/web.xml泄露之前,我们先要知道,web.xml是一个什么样的文件,以及它的泄露会出现哪些问题。 咱们先来看看WEB-INF这个文件夹 WEB-INF主要包含以下内容: /WEB-INF/web.xmlWeb应用
配置文件信息泄露
fansenliangren的博客
11-24 3144
在目标主页点击右键,查看网页源代码,搜索config字段或在源码逐行查找,分析是否存在系统的配置信息或配置文件路径信息。攻击者通过配置信息泄露获取敏感数据,为进一步攻击创造条件,设置通过泄露的配置直接控制数据库或网站。
信息泄露之Web源码泄露
qq_50854662的博客
01-18 2034
信息泄露之Web源码泄露
WEB-INF/web.xml泄露
m0_60715541的博客
11-05 1548
今天谈谈WEB-INF/web.xml泄露
深入解析J2EE web.xml配置
"J2EE web.xml配置详解" 在J2EE开发web.xml文件是Web应用程序的部署描述符,它定义了应用的行为、配置和组件。理解并正确配置web.xml是确保Web应用正常运行的关键。以下是web.xml配置的一些核心要点: 1. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值