禁止apache和tomcat列出目录清单的方法

最新推荐文章于 2021-07-06 18:25:41 发布
原创 最新推荐文章于 2021-07-06 18:25:41 发布 · 266 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Apache #Tomcat #Servlet #Web

本文介绍如何在Apache和Tomcat服务器中禁用默认的目录文件列表功能。对于Apache,可以通过在编译时添加--disable-autoindex参数来实现。而对于Tomcat,则需要在default servlet的配置中将listings参数设置为false。

如果用户uri中没有指定文件名,apache和tomcat在默认情况下都会查找默认文件index.*等。
找不到都会显示目录清单,而把文件清单暴露出来。而通常这不是我们所想要的。修改方法如下:
apache:

编译时增加参数--disable-autoindex:

写道
./configure --prefix=/usr/local/httpd2.0.53 \
--disable-autoindex \
--enable-so \
--datadir=/usr/local/web
 


(由于httpd.conf中含有和autoindex相关的配置,请注释掉)

tomcat:

default servlet的listings参数设为false:

写道
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>
org.apache.catalina.servlets.DefaultServlet
</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
 

 

精选资源
通用软件工具清单.docx
09-18
其中,chinaskills_cloud_tools.iso是一个集成镜像包,涵盖了所有列出的软件,便于选手快速搭建比赛所需的环境。 1. **MySQL**:MySQL是一款开源的关系型数据库管理系统,提供了数据库的安装包。在云计算环境中,...
tomcat如何禁止显示目录文件列表
X-rapido的专栏
06-02 1万+
Tomcat禁止显示目录文件列表  打开   tomcat的安装目录/conf/web.xml 文件         default         org.apache.catalina.servlets.DefaultServlet                     debug             0
Tomcat如何防止目录列出?(目录泄露)
分享皕杰报表的一些使用小技巧
08-11 597
有时不输入页面,直接输入根目录下某个文件夹的名字,这个目录下的文件就会都列出来,这样是不安全的.我们需要在tomcat中进行设置:打开tomcatweb.xml文件,加入:&lt;servlet&gt; &lt;servlet-name&gt;default&lt;/servlet-name&gt; &lt;servlet-class&gt;org.apache.catalina.s...
关闭tomcat目录列表功能
飞鸟Blog
12-19 1917
default情况下,如果你访问Tomcat下的一个WEB应用,那么如果你输入的是一个目录名,而且该目录下没有一个default网页,那么Tomcat 将会列出目录下所有的文件或是文件夹,这样给我们带了很大的不安全,可能一些有用的资料,被其他人很容易获取.如果你想屏蔽这个缺省行为,那么可以修改。conf/web.xml文件:defaultorg.apache.catalina.servl
Apache Tomcat 8.5 APR连接包简易共享指南
- VERSIONS:列出了本资源包中所包含组件的版本信息。 - bin:存放了二进制可执行文件,这些文件对于安装使用Tomcat Native至关重要。 9. **安全性与合规性** - 使用Tomcat Native包时,必须注意确保所有组件...
Tomcat集群实现Redis共享Session的必备Jar包清单
总的来说,使用Redis实现Tomcat集群的Session共享,是通过安装配置上述列出的JAR包来完成的。这些JAR包协同工作,确保了用户会话信息能够在多个服务器实例之间共享,从而保证了分布式环境下的用户一致性体验。对于...
CMMI-TS详细设计说明书:MyEclipse与Apache Tomcat系统
这部分还总结了系统需求,列出了客户的期望性能指标。模块清单以表格形式呈现,明确了每个模块的功能、负责人以及时间要求,这有助于分配任务管理进度。 "内容分类N"部分进一步细化到具体模块M的详细设计。对于...
25-May-2025 11:46:22.580 信息 [Catalina-utility-1] org.apache.catalina.startup.HostConfig.deployDirectory 把web 应用程序部署到目录 [D:\tomcat\apache-tomcat-9.0.91\webapps\docs] 25-May-2025 11:46:23.044 信息 [Catalina-utility-1] org.apache.jasper.servlet.TldScanner.scanJars 至少有一个JAR被扫描用于TLD但尚未包含TLD。 为此记录器启用调试日志记录,以获取已扫描但未在其中找到TLD的完整JAR列表。 在扫描期间跳过不需要的JAR可以缩短启动时间JSP编译时间。 25-May-2025 11:46:23.054 信息 [Catalina-utility-1] org.apache.catalina.startup.HostConfig.deployDirectory Web应用程序目录[D:\tomcat\apache-tomcat-9.0.91\webapps\docs]的部署已在[473]毫秒内完成 25-May-2025 11:46:23.055 信息 [Catalina-utility-1] org.apache.catalina.startup.HostConfig.deployDirectory 把web 应用程序部署到目录 [D:\tomcat\apache-tomcat-9.0.91\webapps\examples] 25-May-2025 11:46:23.791 信息 [Catalina-utility-1] org.apache.jasper.servlet.TldScanner.scanJars 至少有一个JAR被扫描用于TLD但尚未包含TLD。 为此记录器启用调试日志记录,以获取已扫描但未在其中找到TLD的完整JAR列表。 在扫描期间跳过不需要的JAR可以缩短启动时间JSP编译时间。 25-May-2025 11:46:23.846 信息 [Catalina-utility-1] org.apache.catalina.startup.HostConfig.deployDirectory Web应用程序目录[D:\tomcat\apache-tomcat-9.0.91\webapps\examples]的部署已在[792]毫秒内完成 25-May-2025 11:46:23.847 信息 [Catalina-utility-1] org.apache.catalina.startup.HostConfig.deployDirectory 把web 应用程序部署到目录 [D:\tomcat\apache-tomcat-9.0.91\webapps\host-manager] 25-May-2025 11:46:24.259 信息 [Catalina-utility-1] org.apache.jasper.servlet.TldScanner.scanJars 至少有一个JAR被扫描用于TLD但尚未包含TLD。 为此记录器启用调试日志记录,以获取已扫描但未在其中找到TLD的完整JAR列表。 在扫描期间跳过不需要的JAR可以缩短启动时间JSP编译时间。 25-May-2025 11:46:24.264 信息 [Catalina-utility-1] org.apache.catalina.startup.HostConfig.deployDirectory Web应用程序目录[D:\tomcat\apache-tomcat-9.0.91\webapps\host-manager]的部署已在[418]毫秒内完成 25-May-2025 11:46:24.264 信息 [Catalina-utility-1] org.apache.catalina.startup.HostConfig.deployDirectory 把web 应用程序部署到目录 [D:\tomcat\apache-tomcat-9.0.91\webapps\manager] 25-May-2025 11:46:24.653 信息 [Catalina-utility-1] org.apache.jasper.servlet.TldScanner.scanJars 至少有一个JAR被扫描用于TLD但尚未包含TLD。 为此记录器启用调试日志记录,以获取已扫描但未在其中找到TLD的完整JAR列表。 在扫描期间跳过不需要的JAR可以缩短启动时间JSP编译时间。 25-May-2025 11:46:24.657 信息 [Catalina-utility-1] org.apache.catalina.startup.HostConfig.deployDirectory Web应用程序目录[D:\tomcat\apache-tomcat-9.0.91\webapps\manager]的部署已在[392]毫秒内完成
最新发布
05-26
此处示例中,`excludes` 属性列出了无需参与 TLD 扫描的 JAR 文件模式[^4]。 ##### 2. 使用 `tomcat.util.scan.StandardJarScanFilter.jarsToSkip` 系统属性 另一种方式是通过 JVM 参数指定忽略的 JAR 列表。例如,...
tomcat 禁止列出目录
clbchenlb的专栏
08-07 408
      在Tomcat的conf/web.xml文件里把listings值改为false如:     &lt;servlet&gt;        &lt;servlet-name&gt;default&lt;/servlet-name&gt;        &lt;servlet-class&gt;org.apache.catalina.servlets.DefaultServlet&lt;...
屏蔽TOMCAT下的目录列表
qzj_jo2005的专栏
03-21 982
缺省情况下,如果你访问Tomcat下的web应用,若输入的是一个目录名,会将该目录下的所有文件列出来,这不是我们所希望看到的,因为这样会暴露自己的虚拟目录。如果你想屏蔽这个缺省行为,要可以修改conf/web.xml文件:找到如下行:defaultorg.apache.catalina.servlets.DefaultServletdebug0listingsfalse1关键是要修改加粗行
不让tomcat显示目录文件列表的配置方法
07-28 299
修改conf/web.xml文件(把listings的参数改为false) 复制代码 代码如下: default org.apache.catalina.servlets.DefaultServlet debug 0 listings true 1 修改为: 复制代码 代码如下: default org.apache.ca
Tomcat样列目录session操控漏洞
weixin_50464560的博客
07-06 1948
友情链接:tomcat反序列化漏洞(cve-2016-8735)Tomcat的PUT的上传漏洞(CVE-2017-12615)Tomcat后台弱口令上传war包漏洞复现复现起源:近期在项目中碰到的ApacheTomcat中间件愈来愈多,于是乎。想着做一个整理。将ApacheTomcat中间件的几大较为重要的高危漏洞做一个总结整理复现。用作来巩固更新自己的知识库。在这里感谢公司Bearcat师傅残忆师傅以及李师傅等指导共享精神。题外话:今天我们复现Tomcat样例目录session操控漏洞。在实战中也碰到
[渗透]Apache Tomcat示例目录漏洞
热门推荐
胖胖的ALEX
02-21 4万+
漏洞等级:中 Apache Tomcat默认安装包含"/examples"目录,该目录包含许多示例servletJSP。其中一些示例存在安全风险,不应部署在生产服务器上。 http://localhost:8080/examples/servlets/servlet/SessionExample 示例允许会话操作。因为会话是全局的,所以这个示例会带来很大的安全风险,因为攻击者可用通过操纵其会话来...
tomcat限制对example目录的访问权限 安全设置_技术干货 | 安全服务之安全基线及加固(三)Apache篇...
weixin_39972519的博客
12-01 3105
欢迎各位添加微信号:qinchang_198231加入安全+ 交流群 大佬们一起交流安全技术0x01 前言 安全服务工程师大家应该都知道,对于他的岗位职责你可能会说不就是渗透测试啊、应急响应嘛.....实际上正式一点的企业对于安服的要求是包括了漏洞扫描、安全基线检查、渗透测试、安全加固、日志分析、恶意代码检查、应急响应、安全加固等差不多十个方面的内容的。内容多吗?我也觉得多!...
禁用apache的测试页及目录
qq_43737121的博客
01-06 2579
一.禁用apache测试页的方法 1.找到welcome.conf vim /etc/httpd/conf.d/welcome.conf 2.将文件中的每一行都注释掉: 或者修改文件的名字 3.重启apache服务 service httpd restart 二.禁用apache目录方法: 1.找到http.conf vim /etc/httpd/conf/ht...
Tomcat 样例目录暴露(低危)
打代码的小女孩
06-06 1万+
Apache Tomcat样例目录session操纵漏洞 0x00 背景 前段时间扫到的漏洞,研究了下,感觉挺有意思的,发出来大家分享下,有啥不对的地方还请各位拍砖指正。 Apache Tomcat默认安装包含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/SessionExample)允许用户对sess...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值