① Tomcat是如何读取到web.xml文件的
WEB-INF/web.xml contains a top-level web-app element. It is the Servlet standard location for defining things like servlet mappings and security roles.
这个路径是标准、规范
② 容器tomcat在什么时候读取web.xml
是你在加载项目的时候就会读取,也就是当你把项目发布到容器中的时候
楼上所说的修改了web.xml必须重启tomcat(也就是你说的servlet的容器),其实是不恰当的,当你修改了web.xml后,容器都会自动重新加载该项目,也就是会重新读取web.xml,所以就没必要重启了
③ 如何解决 Apache Tomcat 目录遍历漏洞
APACHE 的
Options Indexes MultiViews ← 找到这一行,将“Indexes”删除
↓
Options MultiViews ← 变为此状态(不在浏览器上显示树状目录结构)
AllowOverride None
Order allow,deny
Allow from all
</Directory>
TOMCAT修改conf/web.xml文件
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value> // 这里改为false 重启就好了
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
④ Tomcat下的J2EE WEB.XML配置文件信息泄露
web.xml 是在 WEB-INF目录下的,根据规范,WEB-INF目录 是禁止访问的,只能本地通过文件系统访问,你可以在文件系统中进行权限控制。
⑤ Apache Tomcat/Jboss远程代码执行漏洞 怎样解决
临时漏洞修补办法:给jmx-console加上访问密码
1.在 ${jboss.server.home.dir}/deploy下面找到jmx-console.war目录编辑WEB-INF/web.xml文件 去掉 security-constraint 块的注释,使其起作用
2.编辑WEB-INF/classes/jmx-console-users.properties或server/default/conf/props/jmx-console-users.properties (version >=4.0.2)和 WEB-INF/classes/jmx-console-roles.properties
或server/default/conf/props/jmx-console-roles.properties(version >=4.0.2) 添加用户名密码
3.编辑WEB-INF/jboss-web.xml去掉 security-domain 块的注释 ,security-domain值的映射文件为 login-config.xml (该文件定义了登录授权方式)
⑥ web.xml是怎么读取的
web.xml是系统自动生成的,当你的web应用部署到tomcat上的时候,启动tomcat时它就开始读取了,而且这个路径是固定的。
⑦ apache tomcat/7.0.53 漏洞有哪些
1. CVE-2014-0095:DoS(拒绝服务)漏洞
如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。
受影响版本:Apache Tomcat 8.0.0-RC2~8.0.3
2. CVE-2014-0075:DoS(拒绝服务)漏洞
攻击者可以制作一个特殊大小的chunked请求,允许大量数据流传输到服务器,并可以绕过各种大小验证,从而导致DoS攻击。
受影响版本:
Apache Tomcat 8.0.0-RC1~8.0.3
Apache Tomcat 7.0.0~7.0.52
Apache Tomcat 6.0.0~6.0.39
3. CVE-2014-0096:信息泄露漏洞
默认的servlet可以让Web应用程序定义一个XSLT,用于格式化目录列表。当在一个安全管理机制下运行时,这些进程没有受到和Web应用程序一样的约束条件,使得恶意Web应用通过使用外部XML来绕过安全限制。
受影响版本:
Apache Tomcat 8.0.0-RC1~8.0.3
Apache Tomcat 7.0.0~7.0.52
Apache Tomcat 6.0.0~6.0.39
4. CVE-2014-0097:信息泄露漏洞
用于解析请求内容长度头的代码没有检查溢出,这将导致请求泄露。
受影响版本:
Apache Tomcat 8.0.0-RC1~8.0.3
Apache Tomcat 7.0.0~7.0.52
Apache Tomcat 6.0.0~6.0.39
5. CVE-2014-0119:信息泄露漏洞
在特定情况下,恶意Web应用可能取代Tomcat中的XML解析器来处理默认servlet的XSLT、JSP文档、TLD(标签库描述符)和标签插件配置文件,注入的XML解析器可能会绕过针对XML外部实体的限制。
受影响版本:
Apache Tomcat 8.0.0-RC1~8.0.5
Apache Tomcat 7.0.0~7.0.53
Apache Tomcat 6.0.0~6.0.39
解决方法:
各分支产品升级至最新的版本。
Tomcat 8.x分支升级至Tomcat 8.0.8或更新版本
Tomcat 7.x分支升级至Tomcat 7.0.54或更新版本
Tomcat 6.x分支升级至Tomcat 6.0.41或更新版本
⑧ tomcat 7怎么读取web.xml
web.xml是tomcat启动的时候自动读取 。
⑨ 漏洞根源 通过测试发现,Tomcat漏洞是由于tomcat-users.xml文件引 的 。该文件保存了Tomcat后台登录的用户
修改一下里面的users和roles和密码不久结了, 这个不是漏洞而是服务器管理后台。必然会有默认密码呀。
抄一段roles和users配置说明:
1.role参数
Tomcat中保存了一些用户权限,也就是角色,比如admin、Tomcat等。用户还可以自定义,通过""来注册一个角色。它只有rolename一个属性,通过这个属性可以把用户的权限进行分配。
2.User参数
这个数据项中包含了诸如用户名、用户密码、用户权限、用户说明等数据属性。通过下面的这个例子讲解。
<user username="wudi" password="wudi" fullName="test"
roles="admin,manager,role1,Tomcat"/>
这个语句建立了一个用户,用户名是"wudi",密码也是"wudi"。这个用户的全称是"test"。"wudi"这个用户拥有的权限是admin、manager、role1、Tomcat。这些用户权限是Tomcat系统默认的。在这里有一些需要声明,Tomcat的系统管理员必须有admin的用户权限,否则无法登陆Tomcat的管理界面。
⑩ tomcat 怎样截止直接访问web.xml文件
项目中web.xml实在WEB-INF文件夹下的,tomcat有安全机制禁止浏览器直接访问WEB-INF文件夹下的任何文件