Basic Tomcat Info
Група Try Hard Security
Уникайте запуску з root
Для того щоб не запускати Tomcat з root, дуже поширеною конфігурацією є встановлення сервера Apache на порту 80/443 і, якщо запитаний шлях відповідає regexp, запит відправляється до Tomcat, який працює на іншому порту.
Структура за замовчуванням
Папка
bin
зберігає скрипти та виконувані файли, необхідні для запуску та роботи сервера Tomcat.Папка
conf
зберігає різноманітні файли конфігурації, які використовуються Tomcat.Файл
tomcat-users.xml
зберігає облікові дані користувачів та їх призначені ролі.Папка
lib
містить різні файли JAR, необхідні для правильної роботи Tomcat.Папки
logs
таtemp
зберігають тимчасові файли журналів.Папка
webapps
є типовим кореневим каталогом Tomcat та містить всі додатки. Папкаwork
виступає як кеш та використовується для зберігання даних під час виконання.
Очікується, що кожна папка всередині webapps
матиме наступну структуру.
Найважливіший файл серед них - WEB-INF/web.xml
, відомий як дескриптор розгортання. Цей файл зберігає інформацію про маршрути, використовані програмою, та класи, які обробляють ці маршрути.
Усі скомпільовані класи, використані програмою, повинні бути збережені у папці WEB-INF/classes
. Ці класи можуть містити важливу бізнес-логіку, а також чутливу інформацію. Будь-яка уразливість у цих файлах може призвести до повного компрометування веб-сайту. Папка lib
зберігає бібліотеки, необхідні для цієї конкретної програми. Папка jsp
зберігає Jakarta Server Pages (JSP), раніше відомі як JavaServer Pages
, які можна порівняти з файлами PHP на сервері Apache.
Ось приклад файлу web.xml.
Конфігурація web.xml
вище визначає новий сервлет з назвою AdminServlet
, який відображений на клас com.inlanefreight.api.AdminServlet
. Java використовує нотацію крапки для створення імен пакетів, що означає, що шлях на диску для вищезазначеного класу буде:
classes/com/inlanefreight/api/AdminServlet.class
Далі створено нове відображення сервлета для відображення запитів на /admin
з AdminServlet
. Ця конфігурація буде відправляти будь-який отриманий запит для /admin
до класу AdminServlet.class
для обробки. Дескриптор web.xml
містить багато чутливої інформації і є важливим файлом для перевірки при використанні уразливості Local File Inclusion (LFI).
tomcat-users
Файл tomcat-users.xml
використовується для дозволу або заборони доступу до сторінок адміністратора /manager
та host-manager
.
Файл показує, до чого надає доступ кожна з ролей manager-gui
, manager-script
, manager-jmx
та manager-status
. У цьому прикладі ми бачимо, що користувач tomcat
з паролем tomcat
має роль manager-gui
, а другий слабкий пароль admin
встановлено для облікового запису користувача admin
Посилання
Група з безпеки Try Hard Security
Last updated