javaweb网站安全问题web网站安全问题防范安全部署tomcat方法

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: javaweb网站安全问题web网站安全问题防范安全部署tomcat方法Apache tomcat是JAVA开发,JSP运行首选的web环境,国内很多网站,以及平台都在使用tomcat 环境来运行网站,高效,稳定,安全,赢得了国内许多客户。
 javaweb网站安全问题web网站安全问题防范安全部署tomcat方法
Apache tomcat是JAVA开发,JSP运行首选的web环境,国内很多网站,以及平台

都在使用tomcat 环境来运行网站,高效,稳定,安全,赢得了国内许多客户。
 
 
tomcat 该如何安全设置与部署呢?
 
SINE安全教您一步一步把tomcat安全做到极致。
 
现在tomcat最新版本是 Apache Tomcat 9.0,M21,
 
http://tomcat.apache.org/download-90.cgi  基于最新的版本下面进行安全配置。
 
如果以前用的是7.0 8.0 8.5老版本的tomcat环境,请尽快升级到9.0 M21版本,并修补
 
 
漏洞。首先打开 tomcat_home/webapps 文件夹,默认存在 docs 和 examples 文件夹,
 
这两个文件是文档跟示例程序,其实没有什么用,建议直接删除。
 
 
 
1.Apache tomcat 加强运行账户的安全权限设置

 
Linux系统,创建一个tomcat用户安全组,权限设置普通,赋值于tomcat运行服务进
 
程。
 
windows 2003 2008系统的apache tomcat安全设置,控制面板里打开计算机管理,添
 
 
加一个用户例如:tomcat用户,设置普通用户权限,然后在服务里找到apache tomcat 
 
 
9.0服务名称,并右键属性,设置登录身份,把刚才新建立的tomcat账户跟密码写上,并
 
 
确定,应用即可。Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测
 
、网站安全测试、于一体的安全服务提供商。
 
 
2. 禁止apache tomcat 网站列出目录
 
 
tomcat默认的设置,是可以直接列目录的,导致黑客可以看到一些私密的文件,建议修
 
 
改web.xml文件,找到listings,然后修改listings为false,即可。这样黑客就列不出
 
 
目录了。
 
 
3. 检查Tomcat的管理账户密码
 
 
默认通过http://网站:8080/manager/html 可以直接访问管理页面,如果不使用,
 
 
建议删除 tomcat_home/webapps/manager 和host-manager 文件夹。
 
如果使用 tomcat manager,打开tomcat_home/conf/tomcat-users.xml,修改用户
 
 
密码,加强密码的复杂程度,例如:
 
<role rolename="manager"/>
 
<user username="tomcat" password="复杂的密码" roles="manager"/>
 
在 tomcat-users.xml 中为所有用户设置数字大小写字符16位以上的复杂密码。
 
 
默认通过http://网站:8080/admin 也是可以访问tomcat admin的管理页面,如果不使
 
 
用的话,建议直接删除tomcat_home/webapps/admin文件夹。
 
 
4.开启tomcat的安全日志功能,当被攻击时可以查看日志查找问题所在
 
 
安全日志存到 tomcat_home/logs 中,访问日志默认是开启的,检查下是否有这个文件
 
 
夹。Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站安全测
 
试、于一体的安全服务提供商。
 
 
5. 设置apache tomcat安全的字符串
 
 
防止黑客连接到服务器的8005端口来发送linux指令 比如:shutdown指令来恶意停止
 
 
tomcat的运行服务。打开 tomcat_home/conf/server.xml文件,设置一个复杂的账号密
 
码。
 
<Server port="8005" shutdown="复杂的密码(设置数字大小写字符16位以上的复杂密码
 
)">  防止黑客碰撞或者猜测密码。
专注于安全领域 解决网站安全 解决网站被黑 网站被挂马 网站被篡改 网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.
相关实践学习
【涂鸦即艺术】基于云应用开发平台CAP部署AI实时生图绘板
【涂鸦即艺术】基于云应用开发平台CAP部署AI实时生图绘板
相关文章
|
3月前
|
Web App开发 监控 安全
OSS客户端签名直传实践:Web端安全上传TB级文件方案(含STS临时授权)
本文深入解析了客户端直传技术,涵盖架构设计、安全机制、性能优化等方面。通过STS临时凭证与分片上传实现高效安全的文件传输,显著降低服务端负载与上传耗时,提升系统稳定性与用户体验。
424 2
|
10天前
|
安全 Linux iOS开发
Burp Suite Professional 2025.9 发布 - Web 应用安全、测试和扫描
Burp Suite Professional 2025.9 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
118 0
Burp Suite Professional 2025.9 发布 - Web 应用安全、测试和扫描
|
1月前
|
运维 数据可视化 C++
2025 热门的 Web 化容器部署工具对比:Portainer VS Websoft9
2025年热门Web化容器部署工具对比:Portainer与Websoft9。Portainer以轻量可视化管理见长,适合技术团队运维;Websoft9则提供一站式应用部署与容器管理,内置丰富开源模板,降低中小企业部署门槛。两者各有优势,助力企业提升容器化效率。
190 1
2025 热门的 Web 化容器部署工具对比:Portainer VS Websoft9
|
2月前
|
Java 应用服务中间件 Docker
java-web部署模式概述
本文总结了现代 Web 开发中 Spring Boot HTTP 接口服务的常见部署模式,包括 Servlet 与 Reactive 模型、内置与外置容器、物理机 / 容器 / 云环境部署及单体与微服务架构,帮助开发者根据实际场景选择合适的方案。
116 25
|
2月前
|
安全 Linux iOS开发
Burp Suite Professional 2025.7 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
Burp Suite Professional 2025.7 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
333 0
Burp Suite Professional 2025.7 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
|
2月前
|
安全 JavaScript Java
java Web 项目完整案例实操指南包含从搭建到部署的详细步骤及热门长尾关键词解析的实操指南
本项目为一个完整的JavaWeb应用案例,采用Spring Boot 3、Vue 3、MySQL、Redis等最新技术栈,涵盖前后端分离架构设计、RESTful API开发、JWT安全认证、Docker容器化部署等内容,适合掌握企业级Web项目全流程开发与部署。
146 0
|
2月前
|
存储 安全 JavaScript
Web Storage有哪些安全风险?
Web Storage有哪些安全风险?
|
5月前
|
安全 Linux API
Burp Suite Professional 2025.4 发布 - Web 应用安全、测试和扫描
Burp Suite Professional 2025.4 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
274 6
Burp Suite Professional 2025.4 发布 - Web 应用安全、测试和扫描
|
4月前
|
人工智能 安全 程序员
用 Colab 和 ngrok 免费部署你的 Web UI 项目,随时随地访问!
用 Colab 和 ngrok 免费部署你的 Web UI 项目,随时随地访问!
|
7月前
|
人工智能 Linux iOS开发
Burp Suite Professional 2025.2 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
Burp Suite Professional 2025.2 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
354 12
Burp Suite Professional 2025.2 (macOS, Linux, Windows) - Web 应用安全、测试和扫描