Basic Tomcat Info
Izbegavajte pokretanje sa root-om
Da ne biste pokretali Tomcat sa root-om, veoma uobičajena konfiguracija je postavljanje Apache servera na portu 80/443 i, ako putanja zahteva odgovara regexp-u, zahtev se šalje Tomcat-u koji radi na drugom portu.
Podrazumevana struktura
Folder
bin
čuva skripte i binarne datoteke potrebne za pokretanje i rad Tomcat servera.Folder
conf
čuva razne konfiguracione datoteke koje koristi Tomcat.Datoteka
tomcat-users.xml
čuva korisničke akreditive i njihove dodeljene uloge.Folder
lib
sadrži razne JAR datoteke potrebne za ispravno funkcionisanje Tomcat-a.Folderi
logs
itemp
čuvaju privremene log datoteke.Folder
webapps
je podrazumevani webroot Tomcat-a i hostuje sve aplikacije. Folderwork
deluje kao keš i koristi se za čuvanje podataka tokom izvršavanja.
Svaki folder unutar webapps
se očekuje da ima sledeću strukturu.
Najvažnija datoteka među ovim je WEB-INF/web.xml
, koja je poznata kao deskriptor implementacije. Ova datoteka čuva informacije o rutama koje koristi aplikacija i klase koje obrađuju te rute.
Sve kompajlirane klase koje koristi aplikacija treba da budu smeštene u WEB-INF/classes
folderu. Ove klase mogu sadržati važnu poslovnu logiku kao i osetljive informacije. Svaka ranjivost u ovim datotekama može dovesti do potpunog kompromitovanja veb sajta. Folder lib
čuva biblioteke potrebne toj konkretnoj aplikaciji. Folder jsp
čuva Jakarta Server Pages (JSP), ranije poznate kao JavaServer Pages
, koje se mogu uporediti sa PHP datotekama na Apache serveru.
Evo primera web.xml datoteke.
The web.xml
конфигурација изнад дефинише нови сервлет под именом AdminServlet
који је мапиран на класу com.inlanefreight.api.AdminServlet
. Java користи тачкасту нотацију за креирање имена пакета, што значи да би пут на диску за класу дефинисану изнад био:
classes/com/inlanefreight/api/AdminServlet.class
Следеће, нова мапа сервлета се креира да мапира захтеве на /admin
са AdminServlet
. Ова конфигурација ће послати сваки захтев примљен за /admin
на класу AdminServlet.class
за обраду. web.xml
дескриптор садржи много осетљивих информација и важан је фајл за проверу када се искоришћава Local File Inclusion (LFI) vulnerability.
tomcat-users
tomcat-users.xml
фајл се користи за дозволу или забрану приступа админ страницама /manager
и host-manager
.
Fajl nam pokazuje šta svaka od uloga manager-gui
, manager-script
, manager-jmx
i manager-status
omogućava. U ovom primeru, možemo videti da korisnik tomcat
sa lozinkom tomcat
ima ulogu manager-gui
, a druga slaba lozinka admin
je postavljena za korisnički nalog admin
.
Reference
Last updated