Basic Tomcat Info
Try Hard Güvenlik Grubu
Root ile Çalıştırmaktan Kaçının
Tomcat'ı root olarak çalıştırmamak için çok yaygın bir yapılandırma, 80/443 portlarında bir Apache sunucusu ayarlamak ve istenen yol bir regex ile eşleşirse, istek farklı bir portta çalışan Tomcat'a gönderilir.
Varsayılan Yapı
bin
klasörü, bir Tomcat sunucusunu başlatmak ve çalıştırmak için gereken betikleri ve ikili dosyaları depolar.conf
klasörü, Tomcat tarafından kullanılan çeşitli yapılandırma dosyalarını depolar.tomcat-users.xml
dosyası, kullanıcı kimlik bilgilerini ve atanan rolleri depolar.lib
klasörü, Tomcat'ın doğru şekilde çalışabilmesi için gereken çeşitli JAR dosyalarını içerir.logs
vetemp
klasörleri geçici günlük dosyalarını depolar.webapps
klasörü, Tomcat'ın varsayılan web kök dizinidir ve tüm uygulamaları barındırır.work
klasörü bir önbellek olarak işlev görür ve çalışma zamanında verileri depolamak için kullanılır.
webapps
içindeki her klasörün aşağıdaki yapıya sahip olması beklenir.
En önemli dosya WEB-INF/web.xml
dosyasıdır, bu da dağıtım tanımlayıcısı olarak bilinir. Bu dosya, uygulama tarafından kullanılan rotalar ve bu rotaları işleyen sınıflar hakkında bilgileri depolar.
Uygulama tarafından kullanılan tüm derlenmiş sınıflar WEB-INF/classes
klasöründe saklanmalıdır. Bu sınıflar önemli iş mantığı yanı sıra hassas bilgiler içerebilir. Bu dosyalardaki herhangi bir güvenlik açığı, web sitesinin tamamen tehlikeye girmesine neden olabilir. lib
klasörü, belirli uygulama için gerekli olan kütüphaneleri depolar. jsp
klasörü, Jakarta Server Pages (JSP) olarak bilinen, önceden JavaServer Pages
olarak bilinen dosyaları saklar ve Apache sunucusundaki PHP dosyalarına benzetilebilir.
İşte bir web.xml dosyası örneği.
Yukarıdaki web.xml
yapılandırması, AdminServlet
adında yeni bir servlet tanımlar ve com.inlanefreight.api.AdminServlet
sınıfına eşlenir. Java, paket adları oluşturmak için nokta notasyonunu kullanır, yukarıda tanımlanan sınıfın disk üzerindeki yolu şöyle olacaktır:
classes/com/inlanefreight/api/AdminServlet.class
Daha sonra, /admin
isteklerini AdminServlet
ile eşlemek için yeni bir servlet eşlemesi oluşturulur. Bu yapılandırma, /admin
için alınan herhangi bir isteği işlemek için AdminServlet.class
sınıfına yönlendirecektir. web.xml
açıklaması, bir Yerel Dosya Dahil Etme (LFI) zafiyetinden yararlanırken kontrol edilmesi gereken önemli bir dosyadır.
tomcat-users
tomcat-users.xml
dosyası, /manager
ve host-manager
yönetici sayfalarına erişimi izin vermek veya engellemek için kullanılır.
Dosya, manager-gui
, manager-script
, manager-jmx
ve manager-status
rollerinin her birinin erişim sağladığı şeyleri göstermektedir. Bu örnekte, tomcat
kullanıcısının şifresi tomcat
olan manager-gui
rolüne sahip olduğunu ve admin
kullanıcı hesabı için ikinci zayıf bir şifre olan admin
in ayarlandığını görebiliriz.
Referanslar
Try Hard Security Group
Last updated