WEB项目禁止外部访问某一文件

最新推荐文章于 2022-05-26 13:21:09 发布
原创 最新推荐文章于 2022-05-26 13:21:09 发布 · 3.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在web.xml中配置安全约束来保护特定文件类型不被未授权访问,如XML、LOG及DLL等文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在web.xml 追加   
<security-constraint>
		<web-resource-collection>
			<web-resource-name>disable_conf</web-resource-name>
			<url-pattern>*.xml</url-pattern>
			<url-pattern>*.log</url-pattern>
			<url-pattern>*.dll</url-pattern>
		</web-resource-collection>
		<auth-constraint />
	</security-constraint>

web工程禁用HTTP中PUT/ELETE等请求,防止恶意访问
weixin_30426957的博客
07-27 593
web.xml最后加入如下节点 <!--禁用PUT/DELETE请求 --> <security-constraint>   <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>PUT</http-...
web.config 中配置禁止访问某些文件
02-21 1325
path 要禁止访问文件路径,可以使用通配符。? 表示个占位符,* 表示任何个占位符。verb 表示哪些谓词(如 GET、POST、PUT)触发本规则。type 指定逗号分隔的类/程序集组合。System.Web.HttpNotFoundHandler 表没找到。validate 如果为 false,则 ASP.NET 在实际匹配请求到达之前将不尝试加载该类。这有可能延迟错误,但减少了启动时间
web项目禁止用户访问些目录或目录中的文件
雪的期许
05-03 4783
web项目中的web.xml文件中进行配置,或者增加过滤器: 1.可以在web.xml文件中增加: <security-constraint> <web-resource-collection> <web-resource-name>Forbidden</web-resource-name>...
Apache+Tomcat整合后 禁止访问 WEB-INF目录
luinstein的专栏
10-21 4473
Apache+Tomcat整合后,两者的主目录指向了同目录,比如/website/app,因为Tomcat需要在主目录或context下建WEB-INF目录,对于Tomcat来说,通过Tomcat的8080端口,是无法访问这个目录的,不过,对于apache来说,默认情况下,对这个目录有访问权,用户能直接访问http://localhost/WEB-INF/web.xml之类的来访问WEB-I
WEB-INF 文件禁止访问
cc110120的博客
03-01 607
WEB-INF 文件禁止访问 公司用的是apache+tomcat以前别人弄好的。 早上没事突然想到域名指向的文件访问的问题,就试着访问了下WEB-INF/class/jdbc.properties文件,竟然打开了。郁闷,服务器数据库信息都在里面呢。前几天刚好看过apache配置问题。后来在apache文件夹下conf/httpd.添加以下信息。 # /home/xxxxxx/WEB...
nginx禁用公网ip访问某个路径
gjy11011的博客
05-26 952
location =/aaa { allow 127.0.0.0/24; allow 192.168.0.0/16; allow 172.16.0.0/12; allow 10.0.0.0/8; deny all; } /aaa为需要禁止访问的路径
iis安全优化(禁止外部通过站点域名下文件的绝对路径游览文件内容)
weixin_33912445的博客
12-05 825
最近公司web站点出现个问题,所有站点下的日志文件大部分以.txt结尾。导致从外部可以直接通过“日志文件的绝对路径”的方式查看文件内容,存在安全隐患。如下图:解决方式:(此案例为iis 7.0)1. 在IIS中找到“请求删选”:2.双击进入后添加禁止访问文件名后缀:3.将".txt"结尾的加入到禁止访问列如下图:4.再次访问测试如下图:5.(注意:如果台服务器上有多...
WEB-INF访问权限
05-01 2556
web项目中,为了安全,可能需要把jsp文件放在WEB-INF目录下,这样如果我们的页面中出现超链接a标签或者js的location.href去直接转向到WEB-INF下的某个jsp页面,那么就会引用不到,因为这样的请求方式是客户端的请求,而WEB-INF页面只对服务端开放,对客户端是不可见的。这时候我们可以使用action,来进行转向,我们先去请求个action,然后由这个action分发
Web安全问题——设置文件目录不可访问(jetty)
LYY1448019681的博客
11-20 1518
工作中新部署了web服务,被告知存在安全问题,原因是静态文件目录可访问,其实这是web系统的安全性测试中的个很基础并且很重要的部分。 (1)目录列表测试 目录列表可能造成信息泄漏,并且很容易被攻击,所以在测试过程中应该注意查找所有目录列表可能存在的漏洞。 在测试过程中可以使用些工具对Web 服务器的目录列表进行测试。 (2)目录可访问,存在安全问题 (3)查阅资料后,发现可以通过修改web容器配置,设置文件目录不可访问,由于使用的是jetty,故修改了jetty的配置。 找到jetty的安装目录,在
web.xml控制Web应用的行为(5)
07-12 831
web.xml控制Web应用的行为(5)作者:三角杀手王 更新时间: 2005-04-16    用web.xml控制Web应用的行为(5)8 指定处理错误的页面 现在我了解到,你在开发servlet和JSP页面时从不会犯错误,而且你的所有页面是那样的清晰,般的程序员都不会被它们的搞糊涂。但是,是人总会犯错误的,用户可能会提供不合规定的参数,使用不正确的URL或者不能提供必需的表单字段值。除此
限制对Web资源的访问
熊熊乐园-JAVA篇
09-06 2388
开发人员遇到的个老问题是:如何使资源不完全暴露在大庭广众下,而只让那些适当的人和程序有完全的权限来访问他们需要的资源?至少有三个好方法可以解决这个问题。作为个Java Web开发人员,你可能已经对Web应用程序的目录结构很熟悉了(见图1)。在WEB-INF/classes目录下放置了servlet类,在WEB-INF/lib下是Java档案文件,如HTML和图片文件的静态资源直接放在应用程序目
web.xml控制Web应用的行为( 限制对Web资源的访问)
小人物的专栏
10-12 3273
 限制对Web资源的访问       现在,可以指示服务器使用何种验证方法了。"了不起,"你说道,"除非我能指定个来收到保护的URL,否则没有多大用处。"没错。指出这些URL并说明他们应该得到何种保护正是security-constriaint元素的用途。此元素在web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素,分别是:web-resource-co
网络安全博客2-Apacheweb服务器安全加固
weixin_42566183的博客
02-03 397
文章目录1.账号设置2.授权设置3.日志设置4.监听端口设置 Apache服务器是比较流行的款静态页面处理web服务器,在企业的日常开发与维护中,需要对web服务器进行安全加强,确保网站的安全稳定。 1.账号设置 以专门的用户帐号和组运行 Apache。 1、 根据需要为 Apache 创建用户、组 2、 参考配置操作 如果没有设置用户和组,则新建用户,并在 Apache 配置文件中指定 参考步...
web_xml中的作用以及拦截网址
weixin_55526197的博客
02-24 713
每个javaEE工程中都有web.xml文件,那么它的作用是什么呢?它是每个web.xml工程都必须的吗? web中可以没有web.xml文件,也就是说,web.xml文件并不是web工程必须的。 web.xml文件是用来初始化配置信息:比如Welcome页面、servlet、servlet-mapping、filter、listener、启动加载级别等。 当你的web工程没用到这些时,你可以不用web.xml文件来配置你的Application。 每个xml文件都有定义它书写规则的Schema文件,也
如何禁止从浏览器访问js文件
yy0709_26com的专栏
08-03 3405
1、利用tomcat的安全域,在web.xml里面加上如下配置: *.js 加上后,从浏览器访问js,会出现附件的提示,感觉不太友好,但是对于现场催的很急,有无法通过版本解决时,可以选择。 2、如果觉得第种方法不好,则可以写过滤器,对URL进行解析,如果是js则进行跳转。...
Linux下Apache网站目录读写权限的设置
摘取天上星
06-20 9032
网站目录文件权限的设置对网站的安全至关重要,下面简单介绍网站目录文件权限的基本设定。 我们假设http服务器运行的用户和用户组是www,网站用户为centos,网站根目录是/home/centos/web。 方法/步骤 1 我们首先设定网站目录和文件的所有者和所有组为centos,www,如下命令: chown -R centos:www /home/
访问url有phpinfo句话文件如何检测
最新发布
06-28
<think>我们正在讨论如何检测包含phpinfo的句话木马文件。根据引用内容,我们知道句话木马通常具有执行功能和接收数据功能。例如,常见的句话木马代码为:`<?php @eval($_POST['1']); phpinfo();?>`,它结合了执行任意传入代码(通过eval)和显示PHP信息(phpinfo)的功能。 检测这样的木马文件,通常需要分析文件内容。从引用[3]中可以看出,WAF(Web应用防火墙)会检测文件内容中的两个特征:执行功能和接收数据功能。因此,我们可以通过以下步骤来检测: 1. **文件内容扫描**:检查PHP文件内容中是否同时存在以下特征:-执行功能:例如使用`eval`、`assert`、`system`等函数。-接收数据功能:例如通过`$_POST`、`$_GET`、`$_REQUEST`等超全局变量获取外部输入。-同时,还要检测是否包含`phpinfo`函数调用。2.**特征匹配**:可以使用正则表达式来匹配这些特征。例如,匹配`eval(`和`$_POST`,以及`phpinfo(`。 3. **变形木马的检测**:攻击者可能会对木马进行变形(如编码、混淆)来绕过检测。因此,检测工具可能需要具备解码和去混淆的能力,或者使用更高级的静态分析技术。4.**动态分析**:在安全的环境中执行可疑文件,观察其行为。例如,如果文件在被访问时执行了`phpinfo`并返回了PHP信息,同时还能接受外部代码执行,则可以判定为木马。5.**使用专业工具**:可以使用Web安全扫描工具(如Webshell扫描工具)来检测。这些工具内置了多种特征规则,能够检测变形和混淆的木马。根据引用[1]和[2],我们注意到该木马文件上传后执行了`phpinfo()`,因此我们可以通过访问文件并检查输出内容来确认。但这种方法需要人工操作,不适合自动化检测。**自动化检测思路**:-编写个扫描脚本,使用正则表达式匹配可疑代码。例如:-匹配`phpinfo\(`:检测是否包含phpinfo函数调用。-匹配`eval\(`或`assert\(`:检测是否有代码执行函数。-匹配`\$_POST`、`\$_GET`等:检测是否有接收外部输入。注意:由于代码可能被混淆,正则表达式需要考虑到各种变形情况(如函数名和括号之间可能有空格,变量名可能不同等)。 示例正则表达式(PHP代码):```php$pattern ='/\b(?:eval|assert)\s*\(.*?\$_(?:POST|GET|REQUEST).*?\)/is'; $pattern_phpinfo= '/phpinfo\s*\(/i'; ```如果同时匹配到执行函数(如eval)和接收外部输入(如$_POST)以及phpinfo,则判定为可疑。-但是,这种方法可能会有误报(例如,合法的管理脚本也可能使用这些函数)和漏报(如使用其他方式接收数据或执行代码)。因此,在实际应用中,需要结合上下文和更多规则。**引用说明**:-引用[1]提到通过禁用JavaScript绕过前端防御上传木马,并成功执行phpinfo。这提醒我们,检测木马时不能仅依赖上传时的防御,还需要在服务器端进行扫描。 -引用[2]展示了句话木马的示例代码,其中包含`eval`和`phpinfo`。-引用[3]指出WAF检测句话木马的两个特征:执行功能和接收数据功能,并说明未变形的木马几乎无法存活。因此,检测包含phpinfo的句话木马文件,关键在于检测文件内容是否同时具备执行外部传入代码的能力和调用phpinfo函数。**具体步骤建议**:1.在服务器上定期扫描上传目录中的PHP文件。2.使用上述正则表达式规则匹配文件内容。3.对于匹配到的文件,进行人工审核或进步动态分析。4.部署WAF或入侵检测系统(IDS)来实时监控和拦截可疑文件上传。 §§相关问题§§1.如何编写个检测句话木马的脚本?2.如何防御句话木马文件的上传?3.除了正则表达式,还有哪些方法可以检测变形的木马文件?</think>### 检测包含 phpinfo 的句话木马文件 检测包含 `phpinfo()` 的句话木马文件需要结合静态代码分析和动态行为分析,以下是具体方法: #### 、静态检测(基于代码特征) 1. **核心特征匹配** - 扫描文件内容是否同时包含以下特征: - `eval(` 或 `assert(`(代码执行函数) - `$_POST[`、`$_GET[` 或 `$_REQUEST[`(接收外部输入) - `phpinfo(`(目标函数) - 示例正则表达式: ```regex /(eval|assert)\s*\(.*?\$_(POST|GET|REQUEST).*?\)\s*;.*?phpinfo\s*\(/is ``` 2. **混淆代码检测** - 检测常见混淆手段: - Base64 编码(如 `eval(base64_decode(`) - 字符串拼接(如 `"ph"."pinfo"`) - 十六进制编码(如 `\x70\x68\x70\x69\x6e\x66\x6f`) - 工具推荐: - **ClamAV**(自定义规则扫描) - **YARA**(编写特征规则) #### 二、动态检测(基于行为分析) 1. **沙箱执行监控** - 在隔离环境中访问可疑文件,观察是否: - 响应中包含 PHP 配置信息(`phpinfo` 特征) - 响应头异常(如 `Content-Type: text/html` 伪装) - 接收 POST/GET 参数后执行任意代码 2. **流量分析** - 监控网络请求: - 检测带参数的异常请求(如 `?cmd=whoami`) - 分析响应内容是否包含敏感信息(如 PHP 环境变量) #### 三、防御加强建议 1. **服务器配置** - 禁用高危函数:在 `php.ini` 中设置 `disable_functions = eval,assert,system` - 限制文件上传: ```nginx location ~ \.php$ { deny all; # 禁止直接访问上传目录的PHP文件 } ``` 2. **WAF 规则** 添加自定义规则拦截特征组合: - 示例规则(ModSecurity): ```apache SecRule ARGS "@rx (eval|assert)\(.*?\$_(POST|GET)" \ "id:1001,deny,msg:'句话木马特征'" ``` > **原理说明**: > 句话木马需同时具备 **代码执行**(如 `eval`)、**数据接收**(如 `$_POST`)和 **特定功能**(如 `phpinfo`)三个特征。静态检测通过代码模式匹配识别,动态检测通过行为监控验证[^1][^3]。若文件仅含 `phpinfo()` 而无外部输入接口,则属于普通信息泄露漏洞,不归类为木马。 --- ### 相关问题 1. 如何区分普通 `phpinfo()` 文件与恶意木马? 2. 有哪些工具可以自动化检测网站中的句话木马? 3. 如何防御经过混淆加密的变形木马上传? [^1]: 木马需同时具备执行功能和接收数据功能,WAF 会检测这些特征组合。 [^2]: 常见句话木马结构包含 `eval($_POST[])` 和 `phpinfo()` 的组合。 [^3]: WAF 通过匹配执行函数和外部输入接收特征来识别木马。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值