容易忽略的Tomcat安全问题

最新推荐文章于 2024-04-26 21:07:41 发布
转载 最新推荐文章于 2024-04-26 21:07:41 发布 · 76 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/ilovecss/archive/2013/04/29/3051256.html
文章标签:

#java #web.xml

本文介绍如何通过修改Tomcat的server.xml文件,将shutdown指令替换为不易被猜测的字符串,以增强服务器安全性。同时,指导如何修改web.xml文件来屏蔽目录列表的默认行为,保护敏感信息不被非授权访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、server.xml默认有下面一行:

<Server port="8005" shutdown="SHUTDOWN">
这样允许任何人只要telnet到服务器的8005端口,输入"SHUTDOWN",然后回车,服务器立即就被关掉了。
从安全的角度上考虑,我们需要把这个shutdown指令改成一个别人不容易猜测的字符串。
例如修改如下:
<Server port="8006" shutdown="abc">,这样就只有在telnet到8006,并且输入"abc"才能够关闭Tomcat.
注意:这个修改不影响shutdown.bat的执行。运行shutdown.bat一样可以关闭服务器。
 
2、缺省情况下,如果你访问tomcat下的一个web应用,那么如果你输入的是一个目录名,而且该目录下没有一个可用的welcome文件, 那么tomcat会将该目录下的所有文件列出来,如果你想屏蔽这个缺省行为,那么可以修改conf/web.xml文件,将其中的:

<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
修改为:
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>

 

设置其他页
在web.xml文件中,有一段如下:
    <welcome-file-list>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>
在<welcome-file-list>与<welcome-file>index.html</welcome-file>之间添加上:

<welcome-file>a.jsp</welcome-file>

转载于:https://www.cnblogs.com/ilovecss/archive/2013/04/29/3051256.html

Tomcat架构详解
悦分享
09-06 1115
所谓虚拟机,就是一台虚拟的计算机。他是一款软件,用来执行一系列虚拟计算机指令。大体上,虚拟机可以分为系统虚拟机和程序虚拟机。大名鼎鼎的VisualBox、VMware就属于系统虚拟机。他们完全是对物理计算机的仿真。提供了一个可以运行完整操作系统的软件平台。程序虚拟机的典型代表就是Java虚拟机,它专门为执行单个计算机程序而设计,在Java虚拟机中执行的指令我们称为Java字节码指令。无论是系统虚拟机还是程序虚拟机,在上面运行的软件都呗限制于虚拟机提供的资源中。JAVA 如何做到跨平台。
大聪明教你学Java | 面试官:谈谈你对 Tomcat 调优的看法
不肯过江东丶
04-26 859
这几天大明白面试了一家新的公司,他面试结束后给大聪明发了一条消息:兄弟,Tomcat 的调优你了解不?大聪明看到这个问题之后,就开始从大脑中搜索答案,但是很遗憾,大聪明的大脑中并未存储相关知识😔... 但是大聪明并未放弃,便开启了求知之路。...
Tomcat安全
Eamonyu的博客
01-28 319
Tomcat 简介 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 官方网站:https://tomcat.apache.org/ Tomcat安装 安装模式(需要JDK) Windows Service Installer 安装版 Windows zip 解压配置 Linux tar.gz 解压配置 安装配置问题 1.Windows下安装启动后中文乱码 解决:修改 ap
Tomcat安全问题
weixin_34341117的博客
07-30 319
为什么80%的码农都做不了架构师?>>> ...
tomcat安全问题
jercy的专栏
11-06 3505
项目中需要对安全问题引起足够的重视,比如下列tomcat安全问题容易被忽略:  server.xml默认有下面一行:这样允许任何人只要telnet到服务器的8005端口,输入"SHUTDOWN",然后回车,服务器立即就被关掉了。从安全的角度上考虑,我们需要把这个shutdown指令改成一个别人不容易猜测的字符串。例如修改如下:,这样就只有在telnet到8006,并且输入"lizongbo"才能
Tomcat安全配置
得已
05-16 1669
安全是系统架构中最重要的关注点之一,通常情况下,所说的安全涵盖网络安全、数据安全、操作系统安全、服务器安全以及应用系统安全等诸多方面。Tomcat 是一个免费的开放源代码 的Web应用服务器,技术先进、性能稳定。由于它优秀的稳定性以及丰富的文档资料,广泛的使用人群,从而在开源领域受到广泛的青睐,因此,Tomcat安全也越来越受到重视。 Tomcat作为一款应用服务器,默认情况下可以满足多数场景的安全需求,但是在安全要求较高的情况下,仍需要从多个方面进行配置,已防止Tomcat管理后台被攻击等风险。Tomc
跟我学,你的服务器够安全吗?第四篇----tomcat安全
zhumengyisheng的博客
12-10 3441
跟我学,你的服务器安全吗?是不是有黑客入侵啊?服务又瘫痪了?本节讲述互联网基础服务之一tomcat安全配置问题和相关的漏洞恢复,一定要尽可能配置好,不要等事后攻击发生了追悔,言之晚矣
内存马介绍及分析-带查杀工具tomcat memshell scanner.jsp
weixin_65629944的博客
12-18 1378
先判断是通过什么方法注入的内存马,可以先查看web日志是否有可疑的web访问日志,如果是filter或者listener类型就会有大量url请求路径相同参数不同的,或者页面不存在但是返回200的,查看是否有类似哥斯拉、冰蝎相同的url请求,哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。4.java VisualVM工具:是一款免费的,集成了多个 JDK 命令行工具的可视化工具,它能为您提供强大的分析能力,对 Java 应用程序做性能分析和调优。cmd=后跟命令即可。
tomcat优化
哈哈
06-08 312
Tomcat优化详细教程 Tomcat是我们经常使用的 servlet容器之一,甚至很多线上产品都使用 Tomcat充当服务器。而且优化后的Tomcat性能提升显著,本文从以下几方面进行分析优化。 一、内存优化 1、jvm内存管理机制: 1)堆(Heap)和非堆(Non-heap)内存 按照官方的说法:“Java 虚拟机具有一个堆,堆是运行时数据区域,所有类实例和数组的内存均从此处分配。堆是在 Java 虚拟机启动时创建的。”“在JVM中堆之外的内存称为非堆内存(Non-heap memory)”。
tomcat 安全规范(tomcat安全加固和规范)
01-10
tomcat是一个开源Web服务器,基于TomcatWeb运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。以下是一些安全加固的方法: 版本安全  升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级。 服务降权 不要使用root用户启动tomcat,使用用普通用户启动Tomcat,集群内用户名统一UID 端口保护 1 更改tomcat管理端口8005 ,此端口有权限关闭tomcat服务,但要求端口配置在8000~8999之间,并更改shutdown执行的命令 2 若 Tomcat 都是放在内网的,则针对 Tomc
中间件安全Tomcat常见漏洞
剁椒鱼头没剁椒的博客
02-22 7272
链接。
Tomcat6 基本安全设置
高明的专栏
03-23 182
一、HttpOnly设置 context.xml添加配置属性 二、更改Tomcat的ico 位于ROOT文件夹下的favicon.ico替换 三、去除tomcat的版本信息 首先找到这个jar包,$TOMCAT_HOME/lib/catalina.jar 依次路径\org\apache\catalina\util\ServerInfo.properties 将相关信息其改掉 四、隐藏Response Header中server信息 server.xml的 Connector 添加属性 server=
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2975
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Tomcat 十大安全优化方法(详解版)
Mortalz7
12-15 2202
Tomcat 十大安全优化方法
Tomcat安全配置
沧笙踏歌的博客
06-02 4048
删除webapps目录中的docs、examples、host-manager、manager等正式环境用不着的目录,这一步就可以解决大部分漏洞。有的网站没删除manager页面,并且管理员弱口令,导致直接Getshell删除webapps目录下的自带项目。
Tomcat升级和安全防护
dondgge的博客
04-26 2007
叫你怎么解决Tomcat安全漏洞,升级Tomcat
tomcat安全设置
lysinely的博客
01-08 4619
安全设置: 1.  删除webapps目录下的所有文件,禁用tomcat管理界面         rm -rf  /usr/local/tomcat/apache-tomcat-9.0.1/webapps/* 2.注释或删除tomcat-users.xml文件内的所有用户权限:  3.隐藏版本信息,修改conf/server.xml 3.用户问题: ngin
访问tomcat失败
最新发布
03-20
<think>嗯,用户遇到了Tomcat访问失败的问题,需要找出可能的原因和解决方案。根据用户提供的引用内容,我需要先整理已有的信息,再结合常见的问题进行分析。 首先,用户提到更新部署后端war包后启动Tomcat失败,日志文件拒绝访问。引用[1]中的情况是日志文件权限问题,可能是Tomcat进程没有写入权限,或者文件被其他进程占用。这时候需要检查日志文件的权限设置,或者重启系统释放被占用的文件。 接着,引用[2]提到可能有循环依赖的bean导致启动失败,这时候需要查看启动时的具体报错信息,定位到是哪个bean的问题,再调整配置。此外,其他配置错误如端口冲突也可能导致Tomcat无法启动,需要检查端口是否被占用。 然后,引用[3]中关于404错误的解决方案,涉及web应用的配置问题。比如上下文路径是否正确、静态资源路径配置错误,或者web.xml等配置文件有误。需要检查应用部署的路径,确认web.xml和springmvc.xml等配置是否正确,尤其是路径结尾的斜杠。 另外,引用[4]提到Docker官方镜像中的Tomcat可能存在webapps目录为空的问题,需要将webapps.dist重命名为webapps。这也可能是一个常见原因,特别是使用Docker时容易忽略这一点。 综合这些引用内容,Tomcat访问失败的可能原因包括权限问题、端口冲突、配置错误、资源路径问题、依赖问题或Docker镜像问题。解决方案需要逐一排查,比如检查日志文件权限、查看启动日志中的具体错误、确认端口占用情况、验证配置文件是否正确,以及检查Docker镜像的目录结构。 此外,用户可能遇到的问题还可能包括应用未正确部署,比如war包没有成功解压,或者部署路径不正确。需要检查Tomcatwebapps目录下是否存在对应的应用目录,或者是否有重复部署导致冲突。 安全软件或防火墙也可能拦截Tomcat的端口访问,需要检查防火墙设置,确保对应端口(如8080)开放。同时,Java环境问题,比如版本不兼容或内存不足,也可能导致Tomcat启动失败,需要检查Java版本和内存配置。 总结下来,解决Tomcat访问失败的步骤应该是:首先查看日志文件确定具体错误,然后根据错误信息逐一排查权限、配置、端口、依赖等问题。如果是Docker环境,还要检查镜像的目录结构。对于404错误,重点检查应用部署路径和资源配置文件。此外,不能忽略系统层面的因素,如防火墙和Java环境。</think>### Tomcat访问失败常见原因及解决方案 #### 一、基础排查步骤 1. **检查Tomcat日志** - 查看`catalina.out`或`localhost.log`,定位错误类型(权限问题、配置错误等)。例如: ```bash tail -f /tomcat/logs/catalina.out ``` - 若提示`java.io.FileNotFoundException: access.log (拒绝访问)`,需检查日志文件权限,使用`chmod`或`chown`修复[^1]。 2. **验证端口占用** - 执行`netstat -tuln | grep 8080`,若端口被占用,修改`server.xml`中的`<Connector port="8080">`或终止占用进程。 #### 二、具体问题及解决方案 1. **权限问题** - **现象**:日志文件拒绝访问、应用部署失败。 - **操作**: ```bash chmod 755 /tomcat/logs # 赋予目录权限 chown -R tomcat:tomcat /tomcat # 递归修改所属用户组 ``` 2. **配置错误** - **路由配置**:检查`web.xml`或注解配置的路径是否冲突,例如: ```xml <!-- web.xml示例 --> <servlet-mapping> <servlet-name>dispatcher</servlet-name> <url-pattern>/app/*</url-pattern> </servlet-mapping> ``` - **上下文路径**:确认`server.xml`中`<Context path="/项目名" ... />`与实际访问路径一致[^3]。 3. **Docker镜像问题** - **现象**:访问Tomcat首页出现404。 - **解决**:进入容器执行: ```bash mv webapps webapps.empty && mv webapps.dist webapps ``` 重启容器后生效[^4]。 4. **依赖冲突** - **现象**:启动时报`BeanCreationException`或循环引用错误。 - **解决**:检查`applicationContext.xml`中的`@Autowired`和`@Bean`定义,使用`@Lazy`延迟加载打破循环依赖[^2]。 #### 三、进阶排查工具 1. **使用`jstack`分析线程** ```bash jstack <Tomcat_PID> > thread_dump.txt # 导出线程快照 ``` 2. **内存泄漏检测** 在`catalina.sh`中添加JVM参数: ```bash JAVA_OPTS="-XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/tmp/heapdump.hprof" ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值