Tomcat中间件安全技术概述

tomcat概述Tomcat概述Tomcat是一个开源的Java Servlet容器，由Apache软件基金会开发和维护。

它实现了Java Servlet和JavaServer Pages（JSP）规范，并提供了一个HTTP Web服务器环境，可以让开发人员在其上部署和运行Java Web应用程序。

Tomcat是使用Java语言编写的，因此它可以在任何支持Java虚拟机（JVM）的平台上运行。

Tomcat的特点1. 开源免费：Tomcat是一款完全免费且开源的软件，任何人都可以自由地下载、使用和修改它。

2. 轻量级：Tomcat非常轻量级，只需要很少的系统资源就可以运行，并且它非常容易安装和配置。

3. 易于扩展：Tomcat提供了很多可定制的选项，使得开发人员可以根据自己的需要扩展和定制Tomcat的功能。

4. 稳定可靠：由于Tomcat经过了长时间的测试和改进，因此它非常稳定可靠，并且能够处理大量并发请求。

5. 安全性高：Tomcat提供了很多安全性选项，包括SSL/TLS加密、访问控制、认证等等，使得Web应用程序更加安全可靠。

6. 跨平台性强：由于Tomcat是使用Java语言编写的，因此它可以在任何支持Java虚拟机（JVM）的平台上运行，包括Windows、Linux、Mac OS等等。

Tomcat的架构Tomcat的架构分为三个层次：1. Web层：Web层是Tomcat最外层的一层，它负责处理HTTP请求和响应，并将请求转发给下一层进行处理。

2. Servlet/JSP容器层：Servlet/JSP容器层是Tomcat中间的一层，它负责管理Servlet和JSP组件，并将它们编译成可执行代码。

此外，Servlet/JSP容器还负责管理会话、Cookie、请求转发等功能。

3. 连接器/底层服务层：连接器/底层服务层是Tomcat最底部的一层，它负责处理网络连接和数据传输。

连接器/底层服务可以使用不同的协议来处理网络连接，比如HTTP、HTTPS、AJP等等。

Tomcat中间件安全配置基线加固操作指导书
佛山供电局信息中心
2014年4月
目录
1.1 Tomcat安全基线要求 (3)
1.1.1 对登录Tomcat的用户进行身份鉴别 (3)
1.1.2 限制管理中间件用户权限 (3)
1.1.3 修改默认口令 (4)
1.1.4 访问日志审计功能 (4)
1.1.5 保护日志审计 (5)
1.1.6 限制超时连接 (5)
1.1.7 修改SHUTDOWN字符串 (5)
1.1.8 禁止目录遍历操作 (6)
1.1.9 防止版本信息泄漏 (6)
1.1.10 自定义错误信息 (7)
1.1 Tomcat安全基线要求
1.1.1 对登录Tomcat的用户进行身份鉴别
1.1.2 限制管理中间件用户权限
1.1.3 修改默认口令
1.1.4 访问日志审计功能
1.1.5 保护日志审计
1.1.6 限制超时连接
1.1.7 修改SHUTDOWN字符串
1.1.8 禁止目录遍历操作
1.1.9 防止版本信息泄漏
1.1.10 自定义错误信息。

第一章 Tomcat概述一、Tomcat简介TOMCAT是APACHE JAKARTA软件组织的一个子项目，TOMCAT是一个JSP/SERVLET容器，它是在SUN公司的JSWDK（JAVA SERVER WEB DEVELOPMENT KIT）基础上发展起来的一个JSP和SERVLET规范的标准实现，使用TOMCAT可以体验JSP和SERVLET的最新规范。

经过多年的发展，TOMCAT不仅是JSP和SERVLET规范的标准实现，而且具备了很多商业JAVA SERVLET容器的特性，并被一些企业用于商业用途。

1、TomcatTomcat在严格意义上并不是一个真正的应用服务器，它只是一个可以支持运行Serlvet/JSP 的Web容器，不过Tomcat也扩展了一些应用服务器的功能，如JNDI，数据库连接池，用户事务处理等等。

Tomcat 是一种具有JSP环境的Servlet容器。

Servlet容器是代替用户管理和调用Servlet的运行时外壳。

1．1 SERVLET容器负责处理客户请求。

当客户请求来到时，SERVLET容器获取请求，然后调用某个SERVLET，并把SERVLET的执行结果返回给客户。

当客户请求某个资源时，SERVLET容器使用SERVLETREQUEST对象把客户的请求信息封装起来，然后调用JAVA SERVLET API中定义的SERVLET的一些生命周期方法，完成SERVLET的执行，接着把SERVLET执行的要返回给客户的结果封装到SERVLETRESPONSE对象中，最后SERVLET容器把客户的请求发送给客户，完成为客户的一次服务过程。

1．2 TOMCAT的工作模式1．2．1 独立的SERVLET容器TOMCAT的默认工作模式，作为独立的SERVLET容器，是内置在WEB服务器中的一部分，是指使用基于JAVA的WEB服务器的情形。

其他两种方式是TOMCAT与其他服务器集成的方式：1．2．2 进程内的SERVLET容器SERVLET容器作为WEB服务器的插件和JAVA容器的实现。

信 息 技 术DOI：10.16661/ki.1672-3791.2019.11.007开源中间件Tomcat高级应用浅谈温立辉(河源职业技术学院电子与信息工程学院 广东河源 517000)摘 要：针对开源中间件Tomcat的企业级应用问题，讨论了多节点运行、远程部署等技术，同时论述了中间件节点外部署源码的格式原理、实现方法及其重要的运维管理作用，进一步阐述了内存调优的应用场景与相关核心技术，最后指出中间件Tomcat在Java开源领域举足轻重的地位。

中间件Tomcat是Apache基金会下的一个优秀开源产品，其简单、易用、开源的特性深受中小企业及程序员的喜爱，因而其在编程市场占有很大的份额，是Java开源领域的一个重要支柱，随着Tomcat版本的更新升级，其性能、稳定性等方面越来越完善，甚至超出了某些非开源中间件。

关键词：中间件 内存调优 多节点 部署中图分类号：TP311 文献标识码：A 文章编号：1672-3791(2019)04(b)-0007-021 企业级应用技能点开源中间件Tomcat版本的更新速度非常快，这得益于Apache基金会组织的投入力度及其他开源爱好者的无私奉献。

目前该服务器中间件的最新版本已经到达Tomcat9，但目前编程市场上主流的版本是Tomcat6、Tomcat7，版本的每一次向前更新迭代都意味着功能及性能更加向前迈进，不同的版本对运营环境有一定的不同要求。

就目前来说，在Java编程界使用Tomcat以传统功能及特性为主，新版本的很多特性还欠缺市场中实践的检验，在实际企业级的应用中除要掌握一般基本操作技能外还要求掌握以下一些深层次应用。

1.1 主页部署众所周知，http://127.0.0.1:8080为中间件Tomcat的主页，但很多时候，我们需要访问此统一资源定位符(URL)就要把请求转到自己所部署的应用上，这个时候就要考虑把项目部署在Tomcat的主页上。

在中间件的要目录下找到webapps目录，此目录为专门用于存放部署在中间件上的应用，进入此目录后可以看到如下资源结构：docs、examples、host-manager、manager、ROOT，这些资源全部为中间件Tomcat自带的应用资源，在这里要特别注意一个叫ROOT的资源，这正是访问官网URL时对应的应用项目，我们自己的应用只要代替资源应用即可，具体操作是删除上面原有所有资源目录，把要部署的应用改名为ROOT，重新访问官网URL即可转跳到我们所部署的应用项目。

tomcat 源码解读Tomcat 是一款流行的开源 Web 服务器和应用服务器，它基于Java 技术开发，支持多种 Web 应用程序和框架。

本文将带您深入解读 Tomcat 的源码，帮助您更好地理解 Tomcat 的工作原理和实现细节。

一、Tomcat 架构概述Tomcat 是一个基于 Java 的开源 Web 服务器和应用服务器，它由多个组件组成，包括 Web 容器、Servlet 容器、连接器、过滤器等。

其中 Web 容器和 Servlet 容器是 Tomcat 的核心组件，它们负责管理 Web 应用程序的部署和运行。

Tomcat 通过多线程技术实现了高效的处理请求和响应，同时还支持集群和负载均衡等高级功能。

二、源码解析1. Web 容器源码解析Web 容器是 Tomcat 的核心组件之一，它负责管理 Web 应用程序的部署和运行。

在 Tomcat 中，Web 容器使用 Servlet 技术实现，通过 Servlet API 和相关类库来处理 HTTP 请求和响应。

在源码中，Web 容器实现了 Servlet API 中的核心接口，如HttpServletRequest、HttpSession、ServletContext 等，同时还提供了 Web 应用程序所需的配置和部署功能。

2. Servlet 容器源码解析Servlet 容器是 Tomcat 中另一个核心组件，它负责管理Servlet 的部署和运行。

在源码中，Servlet 容器实现了 Servlet API 中的核心接口和类库，提供了对 Servlet 的管理和控制功能。

同时，Servlet 容器还实现了多线程技术，通过线程池来处理请求和响应，提高了系统的处理效率。

3. Tomcat 连接器源码解析Tomcat 的连接器负责与客户端进行通信，它包括 HTTP 连接器和AJP 连接器等。

在源码中，连接器实现了基于 TCP/IP 的通信协议，通过 socket 通信来接收和发送请求和响应数据。

Web中间件常见安全漏洞总结今天看到⼀篇公众号⽂章写的关于中间件漏洞的整理，⾥⾯有部分是我不知道的，转载⼀下，第⼀章：IISIIS 6 解析漏洞IIS 7 解析漏洞PUT任意⽂件写⼊IIS短⽂件漏洞HTTP.SYS远程代码执⾏ (MS15-034)RCE-CVE-2017-7269第⼆章：Apache未知扩展名解析漏洞AddHandler导致的解析漏洞Apache HTTPD 换⾏解析漏洞（CVE-2017-15715）第三章：NginxNginx配置⽂件错误导致的解析漏洞Nginx 空字节任意代码执⾏漏洞Nginx ⽂件名逻辑漏洞（CVE-2013-4547）Nginx 配置错误导致的安全问题第四章：TomcatTomcat 任意⽂件写⼊（CVE-2017-12615）Tomcat 远程代码执⾏（CVE-2019-0232）Tomcat + 弱⼝令 && 后台getshell漏洞Tomcat manager App 暴⼒破解第五章：JBossJBoss 5.x/6.x 反序列化漏洞（CVE-2017-12149）JBoss JMXInvokerServlet 反序列化漏洞JBoss EJBInvokerServlet 反序列化漏洞JBoss <=4.x JBossMQ JMS 反序列化漏洞（CVE-2017-7504）Administration Console 弱⼝令JMX Console未授权访问第六章：weblogicXMLDecoder 反序列化漏洞（CVE-2017-10271 & CVE-2017-3506）Weblogic wls9_async_response,wls-wsat 反序列化远程代码执⾏漏洞（CVE-2019-2725）Weblogic WLS Core Components 反序列化命令执⾏漏洞（CVE-2018-2628）Weblogic 任意⽂件上传漏洞（CVE-2018-2894）Weblogic SSRF漏洞（CVE-2014-4210）Weblogic 弱⼝令 && 后台getshell第七章：GlassFishGlassFish Directory Traversal（CVE-2017-1000028）GlassFish 后台Getshell第⼋章：WebSphereJava反序列化(CVE-2015-7450）弱⼝令 && 后台Getshell1、IISIIS是Internet Information Services的缩写，意为互联⽹信息服务，是由微软公司提供的基于运⾏Microsoft Windows的互联⽹基本服务。

中间件weblogic安全基线配置标准目录第1章账号管理、认证授权 (3)1.1账号管理 (3)1.1.1系统启动账号 (3)1.1.2帐号锁定策略 (3)1.2口令 (4)1.2.1密码复杂度 (4)第2章日志配置操作 (4)2.1日志配置 (4)2.1.1审核登录 (4)第3章IP协议安全配置 (6)3.1IP 协议 (6)3.1.1支持加密协议 (6)3.1.2限制应用服务器Socket数量 (7)3.1.3禁用Send ServerHeader (7)第4章其他配置操作 (8)4.1登录安全管理 (8)4.1.1定时登出 (8)4.1.2更改默认端口 (8)4.1.3错误页面处理 (9)4.1.4目录列表访问限制 (9)第1章账号管理、认证授权1.1账号管理1.1.1系统启动账号1.1.2帐号锁定策略1.2 口令1.2.1密码复杂度第2章日志配置操作2.1日志配置2.1.1审核登录第3章IP协议安全配置3.1IP协议3.1.1支持加密协议3.1.2限制应用服务器Socket数量3.1.3禁用Send Server Header第4章其他配置操作4.1登录安全管理4.1.1定时登出4.1.2更改默认端口4.1.3错误页面处理4.1.4目录列表访问限制中间件tomcat安全基线配置标准第1章账号管理、认证授权 (12)1.1账号管理 (12)1.1.1共享帐号管理 (12)1.1.2无关帐号管理 (12)1.2口令 (13)1.2.1密码复杂度 (13)1.3授权 (13)1.3.1用户权利指派 (13)第2章日志配置操作 (14)2.1日志配置 (14)2.1.1审核登录 (14)第3章其他配置操作 (15)3.1访问权限 (15)3.1.1定时登出 (15)3.2防攻击管理 (15)3.2.1错误页面处理 (15)3.2.2目录列表访问限制 (16)3.2.3禁用危险HTTP方法 (17)11第1章账号管理、认证授权1.1账号管理1.1.1共享帐号管理1.1.2无关帐号管理121.2 口令1.2.1密码复杂度1.3授权1.3.1用户权利指派第2章日志配置操作2.1日志配置2.1.1审核登录第3章其他配置操作3.1访问权限3.1.1定时登出3.2防攻击管理3.2.1错误页面处理153.2.2目录列表访问限制3.2.3禁用危险HTTP方法17。