Basic Tomcat Info
Kikundi cha Usalama cha Try Hard
Epuka kukimbia kwa mizizi
Ili kuepuka kukimbia Tomcat kwa mizizi, usanidi wa kawaida sana ni kuweka seva ya Apache kwenye bandari 80/443 na, ikiwa njia inayohitajika inalingana na regexp, ombi linatumwa kwa Tomcat ukiendesha kwenye bandari tofauti.
Muundo wa Kawaida
Kabrasha
bin
inahifadhi hati na binaries zinazohitajika kuanza na kuendesha seva ya Tomcat.Kabrasha
conf
inahifadhi faili mbalimbali za usanidi zinazotumiwa na Tomcat.Faili ya
tomcat-users.xml
inahifadhi siri za mtumiaji na majukumu yao yaliyopewa.Kabrasha
lib
inashikilia faili za JAR mbalimbali zinazohitajika kwa kufanya kazi kwa usahihi wa Tomcat.Kabrasha
logs
natemp
inahifadhi faili za logi za muda.Kabrasha
webapps
ni mizizi ya wavuti ya msingi ya Tomcat na inahifadhi maombi yote. Kabrasha yawork
inafanya kazi kama cache na hutumika kuhifadhi data wakati wa muda wa uendeshaji.
Kila kabrasha ndani ya webapps
inatarajiwa kuwa na muundo ufuatao.
Faili muhimu zaidi kati ya haya ni WEB-INF/web.xml
, ambalo hujulikana kama maelezo ya kupeleka. Faili hili hifadhi taarifa kuhusu njia zinazotumiwa na programu na darasa zinazoshughulikia njia hizo.
Darasa zote zilizopangiliwa zinazotumiwa na programu zinapaswa kuhifadhiwa kwenye folda ya WEB-INF/classes
. Darasa hizi zinaweza kuwa na mantiki muhimu ya biashara pamoja na taarifa nyeti. Upungufu wowote katika faili hizi unaweza kusababisha kuvamiwa kwa jumla kwa tovuti. Folda ya lib
hifadhi maktaba zinazohitajika na programu hiyo maalum. Folda ya jsp
hifadhi Kurasa za Seva za Jakarta (JSP), hapo awali inayojulikana kama JavaServer Pages
, ambayo inaweza kulinganishwa na faili za PHP kwenye seva ya Apache.
Hapa kuna mfano wa faili ya web.xml.
Konfigurisheni ya web.xml
hapo juu inadefini servlet mpya inayoitwa AdminServlet
ambayo imepangwa kwa darasa com.inlanefreight.api.AdminServlet
. Java hutumia maelezo ya nukta kutengeneza majina ya paketi, maana njia kwenye diski kwa darasa lililofafanuliwa hapo juu itakuwa:
classes/com/inlanefreight/api/AdminServlet.class
Kisha, kielekezi kipya cha servlet kinajengwa ili kupanga maombi kwa /admin
na AdminServlet
. Usanidi huu utapeleka ombi lolote lililopokelewa kwa /admin
kwa darasa la AdminServlet.class
kwa usindikaji. Mwambaa wa web.xml
una taarifa nyingi nyeti na ni faili muhimu ya kuangalia unapotumia kasoro ya Ufichuaji wa Faili za Kienyeji (LFI).
tomcat-users
Faili ya tomcat-users.xml
hutumiwa ku ruhusu au kukataza ufikiaji wa kurasa za usimamizi za /manager
na host-manager
.
Faili linaonyesha ni nini kila jukumu la manager-gui
, manager-script
, manager-jmx
, na manager-status
hutoa ufikiaji. Katika mfano huu, tunaweza kuona kwamba mtumiaji tomcat
na nenosiri tomcat
ana jukumu la manager-gui
, na nenosiri dhaifu la pili admin
limewekwa kwa akaunti ya mtumiaji admin
Marejeo
Kikundi cha Usalama cha Try Hard
Last updated