Tomcat是一个世界上广泛使用的支持JSP和servlets的Web服务器.docVIP

Tomcat是一个世界上广泛使用的支持JSP和servlets的Web服务器。它在JAVA运行时上能够很好地运行并支持Web应用部署。运行Tomcat很简单；到Tomcat网站下载安装程序就可进行Tomcat的安装。没有人对Tomcat的危险性有透彻的了解。Tomcat Web应用程序的主要安全风险存在于以下方面：Tomcat的JSP或JSP内调用的bean能够实施下列高风险性任务：·运行一个Windows系统环境下的程序·读取任意文件夹内任何文件的内容·删除任意文件夹中的文件·在任意文件夹内创建新文件虽然Tomcat确实提供了很多的安全性，但是由于以下因素而显示了其漏洞：1. 安装后，Tomcat作为一个系统服务运行2. 如果没有将其作为系统服务运行，缺省地几乎所有Web服务器管理员都是将其以Administrator权限运行这两种方式都允许Java运行时访问Windows系统下任意文件夹中的任何文件。缺省情况下，Java运行时根据运行它的用户授予安全权限。当Tomcat以系统管理员身份或作为系统服务运行时，Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来，Java运行时就取得了所有文件夹中所有文件的全部权限。并且Servlets(JSP在运行过程中要转换成Servlets)取得了同样的权限。所以Java代码可以调用Java SDK中的文件API列出文件夹中的全部文件，删除任何文件，最大的危险在于以系统权限运行一个程序。当任一Servlets含有如下代码：Runtime rt = Runtime.getRuntime();rt.exec(c:\\SomeDirectory\\SomeUnsafeProgram.exe)这就是最大的危险，并且很多人都未认识到这点。确保Tomcat安全的途径首先，新建一个帐户1. 用ITOMCAT_计算机名建立一个普通用户2. 为其设置一个密码3. 保证密码永不过期(Password Never Expires)被选中修改Tomcat安装文件夹的访问权限1. 选定环境参数CATALINA_HOME或TOMCAT_HOME指向的Tomcat安装文件夹。2. 为ITOMCAT_计算机名用户赋予读、写、执行的访问权限。3. 为ITOMCAT_计算机名用户赋予对WebApps文件夹的只读访问权限。4. 如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。当你需要Tomcat作为系统服务运行时，采取以下步骤：　　【IT专家网独家】Tomcat是一款开源的Web服务器系统，用其搭建的Web站点系统开销小、扩展性好，并且支持负载平衡与邮件服务等，因此颇受站长们的欢迎。值得一提的是Tomcat在Linux系统平台上优势明显，不少用户利用它搭建Web站点。最近，关于Tomcat的入侵非常火，有不少Web站点甚至服务器沦陷。让人不安的是，实施Tomcat入侵技术门槛比较低，因此危害极大。下面笔者揭秘入侵过程，以便站长知己知彼，采取相应的措施，加固站点安全。 　　一、Tomcat入侵揭秘 　　1、扫描 　　和几乎所有的入侵一样，攻击者对Tomcat的入侵也是从扫描开始的。现在网络上针对Tomcat的扫描工具如雨后春笋般冒出来，一般的用户极易获得。并且其中的有些工具可以进行关键词搜索扫描，攻击者输入相应关键词就可以实施对某类Tomcat站点进行扫描入侵。 　　扫描的原理非常简单，因为Tomcat默认是通过8080端口对外提供Web服务的。这些工具就直接扫描网络中开启了8080端口的主机，并且其可以过滤开放8080端口的Web防火墙，缩小攻击范围。利用扫描工具攻击者不但能够获得开启了8080端口的Tomcat服务器的IP地址，还可以扫描自动猜解弱口令。(图1) 　　 　　2、后台 　　有了上面扫描获得的IP和弱口令后，攻击者就可以通过默认的admin用户登录后台。Tomcat的默认后台是http://服务器IP:8080/manager/html,在浏览器地址栏中输入该URL地址，弹出登录对话框，输入默认用户名admin和弱口令即可登录后台。(图2) 　　 　　在Tomcat的后台可以看到站点的所有目录和文件，并且提供“Start”、“Stop”、“Reload”、“Undeploy”功能对目录实施“开启”、“停止”、“重启”、“卸除”等操作。当然对于攻击者来说，Tomcat后台中提供的上传功能可能是他们最为感兴趣的。在此可是上传WAR文件，WAR文件是用于发布的、打包后的web应用程序，上传到Web站点后可以被执行。攻击者可以把一个jsp网马打包生成一个WAR文件，上传后就可以运行该网马。(图3)