14-1 tomcat安全基线检查

已于 2024-03-12 22:20:47 修改
阅读量1.4k 收藏 20
点赞数 15
分类专栏: Web安全渗透 文章标签: tomcat 安全 java
于 2023-12-07 00:30:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263566/article/details/134814973
版权
Web安全渗透 专栏收录该内容
196 篇文章 2 订阅 ¥299.90 ¥99.00
订阅专栏

介绍

        Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP) 和 Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为其对于Web应用的高效运行支持,即便是在性能相对有限的硬件平台上,也能保证良好的运行效率。

尽管如此,如果使用默认配置,Tomcat 可能会存在安全漏洞,这些漏洞可能会让它容易受到恶意攻击。

安全基线检查事项:

1. 确保Tomcat不具有访问非必要文件的权限,也不能执行非必要的程序。

威胁等级:

  • 高(High)

规则描述:

Java运行时环境(JRE)的安全权限是根据运行它的用户权限来授予的。如果Apache Tomcat以系统管理员身份或作为系统服务运行,那么它将拥有相应系统用户或管理员的全部权限。这意味着Tomcat和其上运行的所有Java Servlets(包括转换自JSP的Servlets)都将继承这些权限,能够通过Java SE提供的文件API访问所有文件夹中的文件,进行读取、写入或删除操作。最严重的风险是Servlets可能会以系统权限执行某些程序。

审计描述:

  • 为了审计Tomcat的运行用户,应执行以下命令: 
    ps -ef | grep -v grep | grep tomcat<
了解本专栏 订阅专栏 解锁全文
狗蛋的博客之旅
关注
  • 15
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Tomcat系统安全基线规范
wangyq05的博客
12-12 199
1 账号管理、认证授权 1.1.1 ELK-Tomcat-01-01-01 1.1.2 ELK-Tomcat-01-01-02 1.1.3 ELK-Tomcat-01-01-03 1.1.4 ELK-Tomcat-01-01-04 2 日志配置 2.1.1 ELK-Tomcat-02-01-01 3 通信协议 3.1.1 ELK-Tomcat-03-01-01 3.1.2 ELK-Tomcat-03-01-02 4 设备其他安全要求 4.1.1 ELK-Tomcat-04-01-01
Tomcat完整检查安全基线
08-22
Tomcat完整检查安全基线
01-阿里云标准-Apache Tomcat 安全基线检查
03-25
01-阿里云标准-Apache Tomcat 安全基线检查
基线扫描tomcat安全加固-检查是否支持HTTPS等加密协议
最新发布
malz_zh的博客
11-24 994
基线扫描tomcat检查是否支持HTTPS等加密协议修复
安全基线自动化扫描、生成报告、加固的实现(以Tomcat为例)
weixin_30371469的博客
01-29 4553
一、背景说明 当前在服务上线前,安全部门都会对服务基线配置进行把关,整个流程可以分为扫描、生成报告、修复三步。 在执行这一流程时当前普遍的做法是半自动化的,扫描和生成报告是自动化的,执行扫描、执行生成报告和修复都是手动的。 这里我们要讲的,一是扫描脚本和生成报告脚本实现,二是执行扫描、执行生成报告和修复自动化实现。 二、项目说明 2.1 检测项 1. 删除示例文档 ...
开源中间件tomcat服务器安全配置基线指导
Star——Flying in the cyberspace
09-03 4165
本文规定了信息系统部门所维护管理的Tomcat WEB服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。本文适用的tomcat服务器版本为4.x、5.x、6.x版本的Tomcat Web服务器。 第1章           账号管理、认证授权 1.1   账号 1.1.1            共享帐号管理 安全基线
tomcat安全基线配置建议
Gary_H的专栏
02-15 2544
 检查项目: tomcat进程运行权限检测 路径: /xxx/xxx/apache-tomcat-7.0.88 当前值: 0 加固建议: 请创建低权限的账号运行tomcat 检查项目: 开启用户登录失败锁定 路径: /xxx/xxx/apache-tomcat-7.0.88/conf/server.xml 当前值: 加固建议: &lt;Realm className="org.apache.ca...
Tomcat基线检查
gd0913的博客
04-20 1775
既无权访问非必须的文件,又不能执行非必须的程序 威胁等级:High 规则描述 缺省情况下,Java运行时根据运行它的用户授予安全权限。当Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。并且Servlets(JSP在运行过程中要转换成Servlets)取得了同样的权限。所以Java代码可以调用Java SDK中的文件API列出文件夹中的全部文件,删除任何文件,最大的危险在于以系统权限运行
tomcat 基线检查
qq_45434762的博客
05-13 682
删除初始文件删除tomcat安装时所创建的docs和examples目录下的初始内容删除方法:进入tomcat的webapps目录,删除docs目录和examples目录及其内容控制台及...
Tomcat 安全基线 安全加固操作
it知识分享 free for nothing..
11-18 1022
Tomcat 基线安全加固操作
Apache十四项安全加固标准配置(阿里云标准安全基线检查
chaishen10000的专栏
05-13 2643
一、确保对OS根目录禁用覆盖 | 访问控制 描述 通过禁止访问OS根目录,限制直接访问服务器内部文件的行为使得运行web的服务器更加安全 检查提示 配置文件路径::/etc/httpd/conf/httpd.conf 加固建议 找到配置文件路径。 通过vim path(path为主配置文件的绝对路径) 在配置文件中 找到以<Directory />开头的配置项,按如下配置 <Directory /> ... AllowOverride None ... </Dir
基线检查脚本Tomcat配置规范_(Windows).zip
10-08
基线检查脚本Tomcat配置规范_(Windows).zip
网络系统设备安全基线完整检查
10-07
IDS(入侵检测)完整检查表 Linux完整检查表 MySQL完整检查表 Oracle完整检查表 SQL-server完整检查Tomcat完整检查表 WAF完整检查表 Weblogic完整检查表 windows完整检查表 防火墙策略调研表 防火墙完整检查
主机、中间件基线检查.docx
09-09
windows、linux、tomcat常用组件基线检查工具
tomcat localhost 找不到_安全服务之安全基线及加固(四)Tomcat
weixin_39639505的博客
12-13 152
0x01 前言又到了木偶人哈克尔的笔记分享~有人期待嘛~安全服务工程师大家应该都知道,对于他的岗位职责你可能会说不就是渗透测试啊、应急响应嘛.....实际上正式一点的企业对于安服的要求是包括了漏洞扫描、安全基线检查、渗透测试、安全加固、日志分析、恶意代码检查、应急响应、安全加固等差不多十个方面的内容的。内容多吗?我也觉得多!对于基线加固说,不管是对于安服还是安全运营人员来说都是被要求的...
Tomcat 安全基线检查
咻一咻的博客
05-20 1835
控制台弱密码检查 | 身份鉴别 描述 tomcat-manger是Tomcat提供的web应用热部署功能,该功能具有较高权限,会直接控制Tomcat应用,应尽量避免使用此功能。如有特殊需求,请务必确保为该功能配置了强口令 加固建议 编辑Tomcat根目录下的配置文件conf/tomcat-user.xml,修改user节点的password属性值为复杂密码, 密码应符合复杂性要求: 1、长度8位以上 2、包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字
【技术分享】Tomcat基线安全
ff00yo的博客
04-18 1278
01前言 前几天@wilson师傅要测试线上命令监控功能,将我写的java-sec-code (https://github.com/JoyChou93/java-sec-code) 应用打包到线上的Tomcat进行命令执行测试,想到公司发布系统是在Tomat上运行的Java应用,所以去评估了公司发布系统的安全问题。结果发现一个很严重的安全漏洞,觉得有必要对Tomcat安全配置进行总结和说明。...
Apache Tomcat九项安全加固标准配置(阿里云标准安全基线检查
chaishen10000的专栏
05-13 3904
一、开启日志记录 | 安全审计 描述 Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位 检查提示 – 加固建议 1、修改Tomcat根目录下的conf/server.xml文件。 2、取消Host节点下Valve节点的注释(如没有则添加)。 <Valve className=“org.apache.catalina.valves.AccessLogValve” directory=“logs” prefix=“localhost_access_log” suffix=".t
按照CIS-Tomcat7最新基线标准进行中间件层面基线检测
毛毛雨:AM
12-05 3862
按照CIS-Tomcat7最新基线标准进行中间件层面基线检测 检查项:开启用户登录失败锁定  路径:/var/sites/tomcat/ipxcore/conf/server.xml  当前值:  加固建议: 检查项:限制远程管理IP  路径:/var/sites/tomcat/ipxcore/conf/server.xml  当前值:  加固建议:增加 检查项:禁止显示异常调试信
列举5点tomcat安全基线
03-08
1. 禁用默认账户和密码:在安装Tomcat后,必须立即更改默认的管理员账户和...4. 更新和修补:及时更新和修补Tomcat服务器,以确保安全漏洞得到修复。 5. 日志监控:监控Tomcat服务器的日志,以及时发现和应对安全事件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狗蛋的博客之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值