javaweb网站安全问题web网站安全问题防范安全部署tomcat方法

简介: javaweb网站安全问题web网站安全问题防范安全部署tomcat方法Apache tomcat是JAVA开发,JSP运行首选的web环境,国内很多网站,以及平台都在使用tomcat 环境来运行网站,高效,稳定,安全,赢得了国内许多客户。
 javaweb网站安全问题web网站安全问题防范安全部署tomcat方法
Apache tomcat是JAVA开发,JSP运行首选的web环境,国内很多网站,以及平台

都在使用tomcat 环境来运行网站,高效,稳定,安全,赢得了国内许多客户。
 
 
tomcat 该如何安全设置与部署呢?
 
SINE安全教您一步一步把tomcat安全做到极致。
 
现在tomcat最新版本是 Apache Tomcat 9.0,M21,
 
http://tomcat.apache.org/download-90.cgi  基于最新的版本下面进行安全配置。
 
如果以前用的是7.0 8.0 8.5老版本的tomcat环境,请尽快升级到9.0 M21版本,并修补
 
 
漏洞。首先打开 tomcat_home/webapps 文件夹,默认存在 docs 和 examples 文件夹,
 
这两个文件是文档跟示例程序,其实没有什么用,建议直接删除。
 
 
 
1.Apache tomcat 加强运行账户的安全权限设置

 
Linux系统,创建一个tomcat用户安全组,权限设置普通,赋值于tomcat运行服务进
 
程。
 
windows 2003 2008系统的apache tomcat安全设置,控制面板里打开计算机管理,添
 
 
加一个用户例如:tomcat用户,设置普通用户权限,然后在服务里找到apache tomcat 
 
 
9.0服务名称,并右键属性,设置登录身份,把刚才新建立的tomcat账户跟密码写上,并
 
 
确定,应用即可。Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测
 
、网站安全测试、于一体的安全服务提供商。
 
 
2. 禁止apache tomcat 网站列出目录
 
 
tomcat默认的设置,是可以直接列目录的,导致黑客可以看到一些私密的文件,建议修
 
 
改web.xml文件,找到listings,然后修改listings为false,即可。这样黑客就列不出
 
 
目录了。
 
 
3. 检查Tomcat的管理账户密码
 
 
默认通过http://网站:8080/manager/html 可以直接访问管理页面,如果不使用,
 
 
建议删除 tomcat_home/webapps/manager 和host-manager 文件夹。
 
如果使用 tomcat manager,打开tomcat_home/conf/tomcat-users.xml,修改用户
 
 
密码,加强密码的复杂程度,例如:
 
<role rolename="manager"/>
 
<user username="tomcat" password="复杂的密码" roles="manager"/>
 
在 tomcat-users.xml 中为所有用户设置数字大小写字符16位以上的复杂密码。
 
 
默认通过http://网站:8080/admin 也是可以访问tomcat admin的管理页面,如果不使
 
 
用的话,建议直接删除tomcat_home/webapps/admin文件夹。
 
 
4.开启tomcat的安全日志功能,当被攻击时可以查看日志查找问题所在
 
 
安全日志存到 tomcat_home/logs 中,访问日志默认是开启的,检查下是否有这个文件
 
 
夹。Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站安全测
 
试、于一体的安全服务提供商。
 
 
5. 设置apache tomcat安全的字符串
 
 
防止黑客连接到服务器的8005端口来发送linux指令 比如:shutdown指令来恶意停止
 
 
tomcat的运行服务。打开 tomcat_home/conf/server.xml文件,设置一个复杂的账号密
 
码。
 
<Server port="8005" shutdown="复杂的密码(设置数字大小写字符16位以上的复杂密码
 
)">  防止黑客碰撞或者猜测密码。
专注于安全领域 解决网站安全 解决网站被黑 网站被挂马 网站被篡改 网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
2天前
|
XML 网络协议 Java
JavaWeb -- HTTP -- WEB服务器TOMCAT
JavaWeb -- HTTP -- WEB服务器TOMCAT
|
6天前
|
IDE Java 应用服务中间件
Tomcat部署的服务有部分中文是乱码如何处理
【6月更文挑战第9天】Tomcat部署的服务有部分中文是乱码如何处理
14 5
|
22天前
|
Java 应用服务中间件 Apache
Tomcat的基本使用,如何用Maven创建Web项目、开发完成部署的Web项目
Tomcat的基本使用,如何用Maven创建Web项目、开发完成部署的Web项目
34 1
|
1月前
|
应用服务中间件
jeecgboot开发环境服务启动刷新没问题,部署到tomcat,F5刷新或者浏览器刷新,会出现404
jeecgboot开发环境服务启动刷新没问题,部署到tomcat,F5刷新或者浏览器刷新,会出现404
15 0
|
1月前
|
存储 Java 应用服务中间件
Springboot项目打war包部署到外置tomcat容器【详解版】
该文介绍了将Spring Boot应用改为war包并在外部Tomcat中部署的步骤:1) 修改pom.xml打包方式为war;2) 排除内置Tomcat依赖;3) 创建`ServletInitializer`类继承`SpringBootServletInitializer`;4) build部分需指定`finalName`;5) 使用`mvn clean package`打包,将war包放入外部Tomcat的webapps目录,通过startup脚本启动Tomcat并访问应用。注意,应用访问路径和静态资源引用需包含war包名。
|
3天前
|
传感器 小程序 搜索推荐
(源码)java开发的一套(智慧校园系统源码、电子班牌、原生小程序开发)多端展示:web端、saas端、家长端、教师端
通过电子班牌设备和智慧校园数据平台的统一管理,在电子班牌上,班牌展示、学生上课刷卡考勤、考勤状况汇总展示,课表展示,考场管理,请假管理,成绩查询,考试优秀标兵展示、校园通知展示,班级文化各片展示等多种化展示。
24 0
(源码)java开发的一套(智慧校园系统源码、电子班牌、原生小程序开发)多端展示:web端、saas端、家长端、教师端
|
10天前
|
关系型数据库 MySQL PHP
PHP的生命周期:从诞生到现代Web开发
本文将探索PHP的发展历程,从其最初的设计目标到成为现代Web开发的核心语言。我们将深入了解PHP如何适应不断变化的技术环境,并保持其在开发者社区中的受欢迎程度。
|
1天前
|
前端开发 JavaScript Java
计算机Java项目|基于Web的足球青训俱乐部管理后台系统的设计与开发
计算机Java项目|基于Web的足球青训俱乐部管理后台系统的设计与开发
|
2天前
|
Dart 前端开发 JavaScript
Flutter for Web:跨平台移动与Web开发的新篇章
Flutter for Web是Google的开源UI工具包Flutter的延伸,用于构建高性能、高保真的跨平台应用,包括Web。它基于Dart语言和Flutter的核心框架,利用Skia渲染引擎通过WebAssembly在Web上运行。开发流程包括安装SDK、创建项目、编写Dart代码和部署。性能优化涉及减少渲染开销、代码压缩等。与传统Web框架相比,Flutter for Web在开发效率和性能上有优势,但兼容性和生态系统尚待完善。
6 0
|
3天前
|
JavaScript 前端开发 UED
在Web开发中,拖放(Drag and Drop)和动画效果是提升用户体验的重要工具
【6月更文挑战第12天】本文介绍了如何使用JavaScript实现拖放功能和基本动画效果。拖放功能通过监听mousedown、mousemove和mouseup事件,计算并更新元素位置实现。动画效果则利用requestAnimationFrame函数创建平滑移动的视觉效果。示例代码包括HTML结构和对应的JavaScript实现。
13 1