html 在tomcat中访问不到_安全服务之安全基线及加固(四)Tomcat篇
又到了木偶人哈克尔的笔记分享~有人期待嘛~
安全服务工程师大家应该都知道,对于他的岗位职责你可能会说不就是渗透测试啊、应急响应嘛.....实际上正式一点的企业对于安服的要求是包括了漏洞扫描、安全基线检查、渗透测试、安全加固、日志分析、恶意代码检查、应急响应、安全加固等差不多十个方面的内容的。内容多吗?我也觉得多!
对于基线加固说,不管是对于安服还是安全运营人员来说都是被要求的!接着上回的分享,一起来看看呗!
0x02 Apache与Tomcat的区别
1、apache是web服务器,tomcat是应用(java)服务器,它只是一个servlet(jsp也翻译成servlet)容器,可以认为是apache的扩展。
2、apache和tomcat都可以做为独立的web服务器来运行。但是apache不能解释java程序(jsp,serverlet)
3、Apache是普通服务器,本身只支持html即普通网页。不过可以通过插件支持PHP,还可以与Tomcat连通(单向Apache连接Tomcat,就是说通过Apache可以访问Tomcat资源。反之不然)
4、两者都是一种容器,只不过发布的东西不同。apache是html容器,功能像IIS一样,tomcat是jsp/servlet容器,用于发布JSP及JAVA的,类似的有IBM的webshere、EBA的Weblogic,sun的JRun等
5、apache和tomcat是独立的,在同一台服务器上可以集成。
(Apache安装啥的就没必要说了叭~)
0x03 删除文档和实例程序
安全基线项说明:删除文档和示例程序
检查方法 :打开tomcat_home/webapps文件夹,默认存在docs和examples文件夹
加固方法:建议删除docs和examples文件夹
0x04 设置shutdown字符串
安全基线项说明:防止恶意用户telnet到8005端口后,发送SHUTDOWN命令停止tomcat服务
检查方法:打开tomcat_home/conf/server.xml,查看是否设置了复杂的字符串
加固方法:设置复杂的字符串,防止恶意用户猜测
0x05 检查控制台口令
安全基线项说明:加固tomcat控制台,设置复杂的口令
检查方法:
(1)如果不需要使用控制台
Tomcat 6.x/7.x:
默认通过http://ip:8080/manager/html可以访问tomcatmanager,如果不需要使用,建议删除tomcat_home/webapps/manager和host-manager文件夹;
(2)如果需要使用tomcatmanager
Tomcat 5.x/6.x:
打开tomcat_home/conf/tomcat-users.xml,查看用户密码复杂度
例如:
0x06 禁止列目录
安全基线项说明:防止直接访问目录时由于找不到默认主页而列出目录下所有文件
检查方法:打开应用程序的web.xml,查看listings是否设置为false
listings
false
0x07 日志审核
安全基线项说明:检查tomcat是否记录了访问日志
检查方法:tomcat的日志信息默认存放在tomcat_home/logs中,访问日志默认未开启
加固方法:
如果tomcat前端有Apache,Apache可以记录访问日志。
如果tomcat独立运行,可以开启tomcat访问日志,修改tomcat_home/conf/server.xml,取消注释:
prefix="localhost_access_log."suffix=".txt" pattern="common"resolveHosts="false"/>
启用access_log后,重启tomcat,在tomcat_home/logs中可以看到访问日志
注:这里记录的时间转换为北京时间需要+8小时
0x08 禁止非法HTTP方法
安全基线项目名称:禁用PUT、DELETE等危险的HTTP方法
检查方法:编辑web.xml文件中配置,查看readonly的param-value值是否为false
加固方法:编辑web.xml文件中配置,将readonly的param-value值设为false
org.apache.catalina.servlets.DefaultServlet的
readonly
false
0x09 系统Banner信息
安全基线项说明:修改系统Banner信息
检查方法:
telnet判断信息:
telnet ip 8080
HEAD /HTTP1.1然后两次回车,可以看到server的信息
0x11 后记刚八得~~~中间的内容都差不多啦!!希望内容多多少少能对你有用哦!有问题的地方,还请大哥们轻喷!!看一看,点个收藏,关注一下信安旅程~有需要的时候还能拿出来翻翻!
html 在tomcat中访问不到_安全服务之安全基线及加固(四)Tomcat篇相关推荐
- 服务器基线加固脚本_安全服务之安全基线及加固(一)Windows篇
一个热爱分享的公众号和一群热爱这个行业的作者们. 此文章为连载文章 0x01 前言 安全服务工程师大家应该都知道,对于他的岗位职责你可能会说不就是渗透测试啊.应急响应嘛.....实际上正式一点的企业对 ...
- 降低代码执行中得内存消耗_微服务中使用 OpenJ9 JVM内存占用降低60%!
专注于Java领域优质技术,欢迎关注 作者: 陈一乐 来自:陈一乐 随着微服务的普及,许多企业踏上微服务之旅. 微服务化后,应用数量可能高一个数量级.一般企业,以前三五个应用能支撑业务,微服务化之后应 ...
- 在设计四人抢答器中灯全亮_数字电子技术课程设计报告(四人抢答器).doc
Word格式 完美整理 数字逻辑电路 课程设计报告 系 (部): 三 系 专 业: 通 信 工 程 班 级: 12 通 信 2 班 姓 名: 杨 超 学 号: 20120306201 成 绩: 指导老 ...
- java中的熔断机制_微服务熔断机制与Hystrix原理
微服务是由多个子系统构成的系统,每个子系统分别负责自己的业务,各个服务之间通过HTTP请求进行通讯,所以保证每个服务的可用性是整体可用性的前提,因此在一些服务提供者不可用的情况下,导致大量请求阻塞到此 ...
- Tomcat中的零停机部署(和回滚); 演练和清单
亲爱的大家, 如果您认为Tomcat不能再进步,那您就错了. Tomcat 7引入了所谓的并行部署 . 这是由SpringSource / VMWare贡献的. 简而言之,并行部署是一种能够并行部署一 ...
- Tomcat IP访问限制
Tomcat IP访问限制 需求描述 web服务上线后,需要限制某些IP地址的访问,已有应用服务内部未实现该功能,但是可以通过tomcat配置实现: 修改server.xml配置 打开tomcat配置 ...
- Tomcat快速入门(Tomcat安装 把一个项目发布到tomcat中 Eclipse配置Tomcat idea配置tomcat)
文章目录 服务器的概念 服务器 Web服务器软件:接收客户端发送的请求和响应客户端请求. 常见的Web服务器软件 Tomcat安装 win下启动乱码问题解决 Tomcat目录介绍 如何把一个项目发布到 ...
- tomcat中request对象是被创建的_常用开源框架中设计模式使用分析(全)
一.前言 说起来设计模式,大家应该都耳熟能详,设计模式代表了软件设计的最佳实践,是经过不断总结提炼出来的代码设计经验的分类总结,这些模式或者可以简化代码,或者可以是代码逻辑开起来清晰,或者对功能扩展很 ...
- tomcat拒绝访问是为什么_Tomcat中的connectTimeout和慢攻击
connectTimeout指没有数据访问下,connect保留的时间,tomcat的默认设置为20s.这样就可能造成相关的安全问题,比如每隔19s秒发送一次数据,从而占用连接,造成慢攻击. http ...
最新文章
- word如何(以标题)另起一页(段落 --> 换行和分页 --> 段前分页)
- android webview 重定向 多次load问题,解决webview 第二次调用loadUrl页面不刷新的问题...
- getComputedStyle方法的那些事
- 被字句15个_成人高考要点解读、包含18个实用技巧
- “谁在蹭热度?”小米冰箱由海尔代工?双方齐声明:没有进行任何合作
- 排序算法 c++(思想+code)
- 回填用土好还是砂石料好_养猪用颗粒料好还是自配料好?其实各有优劣,养猪人要会选择...
- 爬虫之Selenium库
- 如何将PDF文档转换成JPG格式
- 【教学类-10-01】20221025《空心图案4*2-有重复》( 随机图案拼贴)(大班主题《动物花花衣》)
- web开发框架_Web开发的十大框架
- starting mysql error_Starting MySQL.. ERROR! The server quit without updating PID file
- 论文投稿系列之Cover Letter写法(一)
- PyQt5中为窗口添加菜单工具栏状态栏
- vscode常用插件 - Path Autocomplete
- ndnSIM学习(八)——examples之ndn-simple.cpp每个函数逐行剖析
- Office2016 64位安装包+只安装3件套
- 以太零MPOS共识机制介绍
- PHP Fatal error: Uncaught think\\exception\\ErrorException: error_log相关解决方法
- INA219 datasheet详解 INA219使用方法
热门文章
- Log4Net ,.net和SQL Server的完美结合
- 不要忽视任何小问题!!!一个XML的XPath的问题.....
- 今天写的一个makefile,备份下
- d3.js中点可以用图片吗_结论第16课——抛物线的中点弦斜率
- 求职特训营火热来袭 阿里大咖教你制作专业简历
- 视频云峰会|“超视频化时代的全景创新” 是什么?
- ClickHouse:人群圈选业务的大杀器
- 阿里云边缘计算又获奖啦!
- 单机和分布式场景下,有哪些流控方案?
- 如何打造智能化的员工出行方式?阿里自研出行神器首次曝光