当前位置: 技术问答>java相关
Liunx+Apache+Tomcat的安全漏洞!!! 高分征集解决方法
来源: 互联网 发布时间:2015-06-18
本文导语: 我使用Linux+Apache+Tomcat配置了JSP环境,但我在浏览器中输入: http://localhost/WEB-INF/web.xml 确能看到web.xml的文件内容! 请问怎样解决这个漏洞? | 我怎么没有遇到这个问题呢? 我的配置是redhat 7...
我使用Linux+Apache+Tomcat配置了JSP环境,但我在浏览器中输入:
http://localhost/WEB-INF/web.xml
确能看到web.xml的文件内容!
请问怎样解决这个漏洞?
http://localhost/WEB-INF/web.xml
确能看到web.xml的文件内容!
请问怎样解决这个漏洞?
|
我怎么没有遇到这个问题呢?
我的配置是redhat 7.1 +apache 1.3.19+tomcat 3.2
tomcat的webapps下的文件的拥有者是root,目录的权限都是755,文件的权限都是544,tomcat使用root身份启动的,apache使用系统服务方式启动
其它的都是缺省配置
httpd.conf的tomcat配置部分的内容:
LoadModule jk_module modules/mod_jk.so
AddModule mod_jk.c
JkWorkersFile /usr/tomcat/conf/workers.properties
JkLogFile /var/log/httpd/mod_jk.log
JkLogLevel warn
# include /usr/tomcat/conf/tomcat-apache-custom.conf
include /usr/tomcat/conf/mod_jk.conf-auto
其它的都没有变化,xml文件是不能访问的,访问时将报告fobbiden错误
我的配置是redhat 7.1 +apache 1.3.19+tomcat 3.2
tomcat的webapps下的文件的拥有者是root,目录的权限都是755,文件的权限都是544,tomcat使用root身份启动的,apache使用系统服务方式启动
其它的都是缺省配置
httpd.conf的tomcat配置部分的内容:
LoadModule jk_module modules/mod_jk.so
AddModule mod_jk.c
JkWorkersFile /usr/tomcat/conf/workers.properties
JkLogFile /var/log/httpd/mod_jk.log
JkLogLevel warn
# include /usr/tomcat/conf/tomcat-apache-custom.conf
include /usr/tomcat/conf/mod_jk.conf-auto
其它的都没有变化,xml文件是不能访问的,访问时将报告fobbiden错误
|
这不是漏洞了,绑定以后,遇到servlet或是.jsp的话apache会交给tomcat模块去处理,但是xml的文件自然就由apache来处理了,所以会看到文件内容。
你试试在apache里面配一下,比如配这个WEB-INF目录的安全,或是配.xml,应该ok的。(我对apache不是太熟)
你试试在apache里面配一下,比如配这个WEB-INF目录的安全,或是配.xml,应该ok的。(我对apache不是太熟)
|
在apache作这个目录的验证
================================================================
CSDN 论坛助手 Ver 1.0 B0402提供下载。 改进了很多,功能完备!
★ 浏览帖子速度极快![建议系统使用ie5.5以上]。 ★ 多种帖子实现界面。
★ 保存帖子到本地[html格式]★ 监视您关注帖子的回复更新。
★ 可以直接发贴、回复帖子★ 采用XML接口,可以一次性显示4页帖子,同时支持自定义每次显示帖子数量。可以浏览历史记录!
★ 支持在线检测程序升级情况,可及时获得程序更新的信息。
★★ 签名 ●
可以在您的每个帖子的后面自动加上一个自己设计的签名哟。
Http://www.ChinaOK.net/csdn/csdn.zip
Http://www.ChinaOK.net/csdn/csdn.rar
Http://www.ChinaOK.net/csdn/csdn.exe [自解压]
================================================================
CSDN 论坛助手 Ver 1.0 B0402提供下载。 改进了很多,功能完备!
★ 浏览帖子速度极快![建议系统使用ie5.5以上]。 ★ 多种帖子实现界面。
★ 保存帖子到本地[html格式]★ 监视您关注帖子的回复更新。
★ 可以直接发贴、回复帖子★ 采用XML接口,可以一次性显示4页帖子,同时支持自定义每次显示帖子数量。可以浏览历史记录!
★ 支持在线检测程序升级情况,可及时获得程序更新的信息。
★★ 签名 ●
可以在您的每个帖子的后面自动加上一个自己设计的签名哟。
Http://www.ChinaOK.net/csdn/csdn.zip
Http://www.ChinaOK.net/csdn/csdn.rar
Http://www.ChinaOK.net/csdn/csdn.exe [自解压]