① Tomcat是如何讀取到web.xml文件的
WEB-INF/web.xml contains a top-level web-app element. It is the Servlet standard location for defining things like servlet mappings and security roles.
這個路徑是標准、規范
② 容器tomcat在什麼時候讀取web.xml
是你在載入項目的時候就會讀取,也就是當你把項目發布到容器中的時候
樓上所說的修改了web.xml必須重啟tomcat(也就是你說的servlet的容器),其實是不恰當的,當你修改了web.xml後,容器都會自動重新載入該項目,也就是會重新讀取web.xml,所以就沒必要重啟了
③ 如何解決 Apache Tomcat 目錄遍歷漏洞
APACHE 的
Options Indexes MultiViews ← 找到這一行,將「Indexes」刪除
↓
Options MultiViews ← 變為此狀態(不在瀏覽器上顯示樹狀目錄結構)
AllowOverride None
Order allow,deny
Allow from all
</Directory>
TOMCAT修改conf/web.xml文件
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value> // 這里改為false 重啟就好了
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
④ Tomcat下的J2EE WEB.XML配置文件信息泄露
web.xml 是在 WEB-INF目錄下的,根據規范,WEB-INF目錄 是禁止訪問的,只能本地通過文件系統訪問,你可以在文件系統中進行許可權控制。
⑤ Apache Tomcat/Jboss遠程代碼執行漏洞 怎樣解決
臨時漏洞修補辦法:給jmx-console加上訪問密碼
1.在 ${jboss.server.home.dir}/deploy下面找到jmx-console.war目錄編輯WEB-INF/web.xml文件 去掉 security-constraint 塊的注釋,使其起作用
2.編輯WEB-INF/classes/jmx-console-users.properties或server/default/conf/props/jmx-console-users.properties (version >=4.0.2)和 WEB-INF/classes/jmx-console-roles.properties
或server/default/conf/props/jmx-console-roles.properties(version >=4.0.2) 添加用戶名密碼
3.編輯WEB-INF/jboss-web.xml去掉 security-domain 塊的注釋 ,security-domain值的映射文件為 login-config.xml (該文件定義了登錄授權方式)
⑥ web.xml是怎麼讀取的
web.xml是系統自動生成的,當你的web應用部署到tomcat上的時候,啟動tomcat時它就開始讀取了,而且這個路徑是固定的。
⑦ apache tomcat/7.0.53 漏洞有哪些
1. CVE-2014-0095:DoS(拒絕服務)漏洞
如果AJP請求中設置了一個長度為0的內容,會導致AJP請求掛起,這會消耗一個請求處理線程,可能導致拒絕服務攻擊。
受影響版本:Apache Tomcat 8.0.0-RC2~8.0.3
2. CVE-2014-0075:DoS(拒絕服務)漏洞
攻擊者可以製作一個特殊大小的chunked請求,允許大量數據流傳輸到伺服器,並可以繞過各種大小驗證,從而導致DoS攻擊。
受影響版本:
Apache Tomcat 8.0.0-RC1~8.0.3
Apache Tomcat 7.0.0~7.0.52
Apache Tomcat 6.0.0~6.0.39
3. CVE-2014-0096:信息泄露漏洞
默認的servlet可以讓Web應用程序定義一個XSLT,用於格式化目錄列表。當在一個安全管理機制下運行時,這些進程沒有受到和Web應用程序一樣的約束條件,使得惡意Web應用通過使用外部XML來繞過安全限制。
受影響版本:
Apache Tomcat 8.0.0-RC1~8.0.3
Apache Tomcat 7.0.0~7.0.52
Apache Tomcat 6.0.0~6.0.39
4. CVE-2014-0097:信息泄露漏洞
用於解析請求內容長度頭的代碼沒有檢查溢出,這將導致請求泄露。
受影響版本:
Apache Tomcat 8.0.0-RC1~8.0.3
Apache Tomcat 7.0.0~7.0.52
Apache Tomcat 6.0.0~6.0.39
5. CVE-2014-0119:信息泄露漏洞
在特定情況下,惡意Web應用可能取代Tomcat中的XML解析器來處理默認servlet的XSLT、JSP文檔、TLD(標簽庫描述符)和標簽插件配置文件,注入的XML解析器可能會繞過針對XML外部實體的限制。
受影響版本:
Apache Tomcat 8.0.0-RC1~8.0.5
Apache Tomcat 7.0.0~7.0.53
Apache Tomcat 6.0.0~6.0.39
解決方法:
各分支產品升級至最新的版本。
Tomcat 8.x分支升級至Tomcat 8.0.8或更新版本
Tomcat 7.x分支升級至Tomcat 7.0.54或更新版本
Tomcat 6.x分支升級至Tomcat 6.0.41或更新版本
⑧ tomcat 7怎麼讀取web.xml
web.xml是tomcat啟動的時候自動讀取 。
⑨ 漏洞根源 通過測試發現,Tomcat漏洞是由於tomcat-users.xml文件引 的 。該文件保存了Tomcat後台登錄的用戶
修改一下裡面的users和roles和密碼不久結了, 這個不是漏洞而是伺服器管理後台。必然會有默認密碼呀。
抄一段roles和users配置說明:
1.role參數
Tomcat中保存了一些用戶許可權,也就是角色,比如admin、Tomcat等。用戶還可以自定義,通過""來注冊一個角色。它只有rolename一個屬性,通過這個屬性可以把用戶的許可權進行分配。
2.User參數
這個數據項中包含了諸如用戶名、用戶密碼、用戶許可權、用戶說明等數據屬性。通過下面的這個例子講解。
<user username="wudi" password="wudi" fullName="test"
roles="admin,manager,role1,Tomcat"/>
這個語句建立了一個用戶,用戶名是"wudi",密碼也是"wudi"。這個用戶的全稱是"test"。"wudi"這個用戶擁有的許可權是admin、manager、role1、Tomcat。這些用戶許可權是Tomcat系統默認的。在這里有一些需要聲明,Tomcat的系統管理員必須有admin的用戶許可權,否則無法登陸Tomcat的管理界面。
⑩ tomcat 怎樣截止直接訪問web.xml文件
項目中web.xml實在WEB-INF文件夾下的,tomcat有安全機制禁止瀏覽器直接訪問WEB-INF文件夾下的任何文件