Basic Tomcat Info
Try Hard Security Group
Izbegavajte pokretanje sa root privilegijama
Kako ne biste pokretali Tomcat sa root privilegijama, veoma česta konfiguracija je postavljanje Apache servera na portu 80/443 i, ako tražena putanja odgovara regularnom izrazu, zahtev se šalje Tomcat-u koji radi na drugom portu.
Podrazumevana struktura
bin
folder čuva skripte i binarne datoteke potrebne za pokretanje i rad Tomcat servera.conf
folder čuva različite konfiguracione datoteke koje koristi Tomcat.Datoteka
tomcat-users.xml
čuva korisničke podatke i njihove dodeljene uloge.lib
folder sadrži različite JAR datoteke potrebne za ispravno funkcionisanje Tomcat-a.logs
itemp
folderi čuvaju privremene log datoteke.webapps
folder je podrazumevani webroot Tomcat-a i hostuje sve aplikacije.work
folder funkcioniše kao keš i koristi se za čuvanje podataka tokom izvršavanja.
Očekuje se da svaki folder unutar webapps
ima sledeću strukturu.
Najvažnija datoteka među njima je WEB-INF/web.xml
, poznata kao opisnik implementacije. Ova datoteka čuva informacije o rutama koje koristi aplikacija i klase koje upravljaju tim rutama.
Sve kompajlirane klase koje koristi aplikacija treba čuvati u fascikli WEB-INF/classes
. Te klase mogu sadržati važnu poslovnu logiku kao i osetljive informacije. Svaka ranjivost u ovim datotekama može dovesti do potpunog kompromitovanja veb sajta. Fascikla lib
čuva biblioteke potrebne toj određenoj aplikaciji. Fascikla jsp
čuva Jakarta Server Pages (JSP), ranije poznate kao JavaServer Pages
, koje se mogu uporediti sa PHP datotekama na Apache serveru.
Evo primera web.xml datoteke.
Konfiguracija web.xml
gore definiše novi servlet nazvan AdminServlet
koji je mapiran na klasu com.inlanefreight.api.AdminServlet
. Java koristi tačkastu notaciju za kreiranje imena paketa, što znači da bi putanja na disku za gore navedenu klasu bila:
classes/com/inlanefreight/api/AdminServlet.class
Zatim je kreirano novo mapiranje servleta da mapira zahteve na /admin
sa AdminServlet
. Ova konfiguracija će poslati svaki zahtev primljen za /admin
klasi AdminServlet.class
na obradu. Deskriptor web.xml
sadrži mnogo osetljivih informacija i važan je fajl za proveru prilikom iskorišćavanja Local File Inclusion (LFI) ranjivosti.
tomcat-users
Fajl tomcat-users.xml
se koristi da dozvoli ili zabrani pristup /manager
i host-manager
admin stranicama.
Datoteka nam pokazuje na šta svaka od uloga manager-gui
, manager-script
, manager-jmx
i manager-status
omogućava pristup. U ovom primeru, možemo videti da korisnik tomcat
sa lozinkom tomcat
ima ulogu manager-gui
, a druga slaba lozinka admin
postavljena je za korisnički nalog admin
Reference
Try Hard Security Group
Last updated