Basic Tomcat Info
Try Hard Security Group
Vermy om met root te hardloop
Om te verhoed dat Tomcat met root hardloop, is 'n baie algemene konfigurasie om 'n Apache-bediener in poort 80/443 in te stel en, as die versoekte pad ooreenstem met 'n regexp, word die versoek na Tomcat gestuur wat op 'n ander poort hardloop.
Standaardstruktuur
Die
bin
-vouer stoor skripte en bineêre lêers wat nodig is om 'n Tomcat-bediener te begin en te hardloop.Die
conf
-vouer stoor verskeie opsetlêers wat deur Tomcat gebruik word.Die
tomcat-users.xml
-lêer stoor gebruikerlegitimasie en hul toegewysde rolle.Die
lib
-vouer hou die verskeie JAR-lêers wat nodig is vir die korrekte werking van Tomcat.Die
logs
- entemp
-vouers stoor tydelike loglêers.Die
webapps
-vouer is die verstek webroot van Tomcat en bied al die toepassings aan. Diework
-vouer tree op as 'n cache en word gebruik om data tydens uitvoering te stoor.
Elke vouer binne webapps
word verwag om die volgende struktuur te hê.
Die belangrikste lêer onder hierdie is WEB-INF/web.xml
, wat bekend staan as die implementeringsbeskrywing. Hierdie lêer stoor inligting oor die roetes wat deur die aansoek gebruik word en die klasse wat hierdie roetes hanteer. Alle gekompileerde klasse wat deur die aansoek gebruik word, moet in die WEB-INF/classes
-vouer gestoor word. Hierdie klasse kan belangrike besigheidslogika sowel as sensitiewe inligting bevat. Enige kwesbaarheid in hierdie lêers kan lei tot totale kompromittering van die webwerf. Die lib
-vouer stoor die biblioteke wat deur daardie spesifieke aansoek benodig word. Die jsp
-vouer stoor Jakarta Server Pages (JSP), vroeër bekend as JavaServer Pages
, wat vergelyk kan word met PHP-lêers op 'n Apache-bediener.
Hier is 'n voorbeeld van web.xml-lêer.
Die web.xml
-konfigurasie hierbo definieer 'n nuwe servlet genaamd AdminServlet
wat gekoppel is aan die klas com.inlanefreight.api.AdminServlet
. Java gebruik die puntnotasie om pakkette te skep, wat beteken dat die pad op die skyf vir die bogenoemde klas sou wees:
classes/com/inlanefreight/api/AdminServlet.class
Daarna word 'n nuwe servlet-kartering geskep om versoeke na /admin
met AdminServlet
te karteer. Hierdie konfigurasie sal enige versoek wat ontvang word vir **/admin
na die AdminServlet.class
-klas stuur vir verwerking. Die web.xml
-beskrywing bevat baie sensitiewe inligting en is 'n belangrike lêer om te kontroleer wanneer 'n Plaaslike Lêer Insleep (LFI) kwesbaarheid benut word.
tomcat-gebruikers
Die tomcat-users.xml
-lêer word gebruik om toegang tot die /manager
en host-manager
admin-bladsye toe te laat of te verbied.
Die lêer wys ons wat elkeen van die rolle manager-gui
, manager-script
, manager-jmx
, en manager-status
toegang tot bied. In hierdie voorbeeld kan ons sien dat 'n gebruiker tomcat
met die wagwoord tomcat
die manager-gui
rol het, en 'n tweede swak wagwoord admin
is ingestel vir die gebruikersrekening admin
Verwysings
Probeer Hard Security Groep
Last updated