安全的发布Axis Webservice

最新推荐文章于 2024-04-16 14:13:25 发布
最新推荐文章于 2024-04-16 14:13:25 发布
阅读量864 收藏
点赞数
文章标签: webservice web服务 filter service ssl email
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/startfromheart/article/details/5545139
版权

我这里讲的是Axis 1.4, 使用2.0的可以直接飘过。

通常作Axis 开发用的原型都是${axis.home}/webapps/axis, 我手头刚结束的项目也是照着这个原型把其中的web.xml Copy过来修改而成的。简单的来讲, 用axis开发webservice应用的步聚就四个。
1> copy  axis 原型。
2> 编写WSDL 文件
3> 编写webservice实现
4> 发布

发布一个Webservice 就一句很简单的ant 命令:

看得出来,是AdminService 允许你上传布署文件发布Webservice应用,你可以上传,黑客也可以。 呵呵。

那么如何确保你发布的axis应用是安全的呢, 你可以对照你的应用作一下检查,看看你是否做到了如下几步:

1. 去掉AdminService
在开发环境, 你需要AdminService为你自动布署axis webserivce, 一旦放到生产环境上, AdminService就可以去掉了。

AdminService是一个web服务, 你可以在server-deployer.wsdd 里面找到 AdminService 这一项, 将它删除掉即可, 你还可以找到Version这一项, 这个也没任何用途, 你可以去掉它。

2. 去掉*.jws 支持
我看的很多入门教程一开始就是教我怎么用Axis 开发一个jws webservice, 现在想想这种教程真是浪费时间, 反而让我更没办法理解啥是webservice.

在web.xml 里面, 可以找到对*.jws的Mapping , 我估计将它去掉了就可以了。如下:


    AxisServlet
    *.jws

3. 设置Axis参数 axis.enableListQuery 为 false

如果为True, 则表示任何人有办法得到你webservice中的参数信息, 如 adminPassword等等

我做到以上三点, 已经可以说是有那么安全了,但你还是可以做更多来确保一个更安全的系统。

4. 去掉wsdl 自动生成功能。

也就是说, 生产环境上自动生成wsdl没啥必要, 你完全可以通过Email 把wsdl 给用户, 或者提供wsdl 静态文件供用户下载。在wsdd 的 service 描述之间, 加入如下这一行就可以啦。

/path/to/wsdl

5. 在web.xml 上加一个Filter, 用来验证接入方的IP地址等信息。

6. 双向SSL

startfromheart
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
axis发布webservice教程源代码
03-13
axis发布webservice教程axis发布webservice教程axis发布webservice教程axis发布webservice教程
Java远程通信技术——Axis实战
weixin_33842328的博客
09-07 314
前言 在 Internet 网络覆盖全球的今天,网络通信已经是当今软件开发过程中离不开的话题。在常用的Windows、Linux、Unix 系统当中,大部分的网络数据传输都是使用 TCP/IP、UDP/IP 作为底层传输协议的,而 HTTP 协议就是基于 TCP/IP 协议而运行的超文本传送协议。在 JAVA 高级开发语言中,陆续出现 RMI、CORBA、JAX-RPC、JAX-WS、Axis、...
Axis1.4 远程命令执行(CVE-2019-0227)复现
thelostworld
05-12 2875
一、漏洞介绍漏洞本质是管理员对AdminService的配置错误。当enableRemoteAdmin属性设置为true时,攻击者可以构造WebService调用freemarker组件中的template.utility.Execute类,远程利用AdminService接口进行WebService发布,再次访问生成的WebService接口,传入要执行的命令,就可以进行远程命令执行漏洞的利用。二、影响版本Axis <=1.4三、环境准备方法一:https://mirrors.tuna.tsingh
Apache Axis2 环境搭配详解
塞外游侠的专栏
08-06 2605
   WebService概念:它可以让一个程序透明的调用互联网程序,不用管具体实现细节,只要WebService公开了服务接口,远程客户端就可以调用服务。Webservice基于HTTP协议,它是分布式应用程序的发展趋势。    Apache Axis是一个开源的WebSerbive运行引擎,现在拥有1.x和2.x两个版本。本文讲解Axis2.x版本,该版本较Axis1.x版本在体系结构上进行了重写,具有更高的效率、更加模块化也更加面向XML。Axis应该是最早一批SOAP(简单对象访问协议),该协议提供
Axis源码分析-Web服务部署(二)
Dead_Knight的专栏
08-09 479
1.服务部署: 1)即时发布 编写java类,去掉包名称,将.java文件类型改成jws。 通过浏览器打开url如:http://localhost:8888/axis/EchoHeaders.jws 点击“Click to see the WSDL”,即可查看所部署服务的WSDL描述文件 2)定制发布 通过deploy.wsdd部署,如: 2....
springmvc中使用axis2中的一些问题
weu135的专栏
11-08 3690
前两天,技术总监说最近我们项目中使用的一些技术比如数字签名,比如远程视频等webservice使用的都是axis2,于是我只能开始将前两天写的cxf改成axis,经过两天多的试验,终于试出来,好吧,下面发一下在试验过程中一些问题和解决方法。          1axis1.4中jar路径有空格会导致invalid path 错误,后来发现是axis2的bug,在后来的版本中被修复。于是将ax
Java安全Axis漏洞分析
weixin_45032957的博客
11-26 2934
0x01 漏洞复现# 漏洞版本:axis=<1.4 Axis1.4 freemarker 下载Axis包1.4版本将Axis放到tomcat的webapp目录中。freemarker.jar放到Axis的 lib目录下。运行tomcat即可。 WEB-INF/web.xml 中将该配置取消注释 AdminServlet /servlet/AdminServlet 原创复现需要将/WEB-INF下面的server-config.wsdd文件中的内容进行编辑一下
三、axis1取消发布WebService(删除一个发布成功的Web服务
O_Ochongchong的专栏
01-06 946
首先,取消发布也需要定制wsdd文件,undeploy.wsdd具体格式如下:   undeployment xmlns="http://xml.apache.org/axis/wsdd/"> service name="HelloWorldWSDD"/> undeployment>     同样,像上面发布WebService一样,用命令完成。 命令如下: jav
Apache Axis 1.4 RCE CVE-2019-0227漏洞复现
qq_43697234的博客
07-21 8426
Apache Axis 1.4 RCE CVE-2019-0227漏洞复现 漏洞产生原因: Axis 1.4 adminservice开启远程访问,此时攻击者可通过services/AdminService 服务 部署一个webservice ,webservice开启一个写文件服务 影响范围:Axis <=1.4 且enableRemoteAdmin设置为True 环境搭建:tomcat8.5+apache Axis 1.4 将apache Axis 1.4 下的webapps/axis包放到tom
Apache axis远程命令执行漏洞预警
systemino的博客
07-08 6730
近日,深信服发现Apache axis 组件远程命令执行漏洞利用方式。该漏洞本质是由于管理员对AdminService配置错误,当enableRemoteAdmin属性设置为true时,攻击者可以远程利用AdminService接口自行发布构造的WebService,再次访问生成的WebService接口时,就可以触发内部引用的类进行远程命令执行漏洞的利用。 axis 组件介绍 axis 全称...
使用Axis开发Web Service程序(zz)
01-24 808
使用Axis开发Web Service程序   今天是感恩节,差点又要在公司加班了。好在Web Service程序并不是特别难搞,下午终于在eclipse下调通过了,正确产生了服务器端和客户端的Java代码,apache的东西的确很不错。  说道Web Service的程序开发,八个月前我加班调试公司和中国电信的商务领航系统的接口的时候,用的就是Web Service,Web Serv
Axis1发布webservice服务
08-06
Axis1发布webservice服务,demo项目,已包含所需的jar包等各种文件,下载导入即可启动运行,有问题的欢迎咨询哈
SpringBoot开发WebServiceAxis示例
07-15
借鉴网上的资源,弄了一个SpringBoot开发WebServiceAxis示例。
基于JAVA中使用Axis发布/调用Webservice的方法详解
09-05
如果初识axis发布/调用WS,建议先读上面的参考文件,本文对于发布/调用WS的主要步骤只是简单文字描述,没有它写的详尽
AXIS发布webservice
03-17
发布webservice使用到的包 博文链接:https://nidexuanzecjy.iteye.com/blog/580386
ssl认证 生成证书的代码 java
global_coding的博客
04-13 929
ssl认证 生成证书的代码 java
SSL安全证书的作用
最新发布
tooyoung_wh的博客
04-16 380
在保护数据免受恶意行为者攻击的过程中,SSL证书扮演了极其重要的角色。SSL证书(Secure Socket Layer)现在通常指的是TLS(Transport Layer Security)证书,是一种用于在网络通信中建立加密链接的标准安全协议。以下是关于SSL证书在数据保护中的作用及其使用策略的详细说明:安全申请地址nid=5。
免费ssl通配符证书申请教程
abcd759200的博客
04-16 556
免费证书虽然能够满足基本的加密需求,但在服务支持、保险额度、信任链等方面可能不如付费证书全面。因此,在选择是否使用免费证书时,需要根据网站的实际情况和安全需求来权衡。市面上通配符证书很多,但是收费不一,从哪里申请免费的通配符这书呢?尽管免费,它们仍遵循严格的行业标准(如X.509标准)进行颁发,确保与付费证书同等的安全性和可信度。通配符证书是一种SSL/TLS证书,用于同时保护一个域名及其所有下一级子域名的安全。免费的通配符证书不是长期有效的,注意及时更新证书以保证网站的安全!打开JoySSL官网。
死磕GMSSL通信-C/C++系列(一)
qq_36577699的博客
04-12 1139
​ GmSSL这个库的问题很多,发现许多库和它都不能正常通信,都需要修改代码,不是修改客户端就是修改服务端,而且这个开源项目基本处于不维护的状态,如果准备集成的GM通信的,优先选择。最近再做国密通信的项目开发,以为国密也就简单的集成一个库就可以完事了,没想到能有这么多坑。理论上客户端和服务端的证书应该是俩套,也可以直接客户端和服务器用一样的证书,我这里直接用了一套,大家可以自行测试俩套的。这里就不提供证书生成的过程了,网上生成的教程很多,GMSSL需要五个证书。1、经过最近几天的测试,发现。
axis2 发布webservice
09-14
发布Axis2 Web服务,您需要按照以下步骤进行操作: 1. 创建一个Java类,其中包含您要发布Web服务的实现逻辑。确保类上有`@WebService`注解。 ```java import javax.jws.WebService; @WebService public ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值