转自:http://hi.baidu.com/shineo__o/item/7520d54c24d234c71081da82

/ps:本以为这是一个偶然配置失误造成的问题,但最近几天无聊时测试发现,有此类似问题的站点就有上百个,所以在这里粗糙总结一下!

通常我们会碰到这样一个问题,在某个web容器中部署的应用的敏感信息是禁止直接访问的,但需要两个web容器搭配使用时,由于安全意识的疏忽,导致前者的私密信息能够通过http访问到,一个很简单的问题(可能大家也经常碰到),但经常容易被部署人员忽视,前段时间测试发现此类问题的站点还不少,其中不乏一些大型站点。

先看这张图:

发现Tomcat容器下应用的WEB-INF文件夹下能够被访问到?

上面是使用了Nginx + Tomcat容器分层,做了反向代理。

Nginx由于性能好、配置简单、且基本不需要软件成本;

Tomcat基本同上,但Tomcat有个缺点,处理静态文件性能低下。

综合一系列原因,对于一些创业型的或降低成本的互联网公司,都会选择j2ee及两者作为网站web容器层架构首选(优点还有很多,这里就不去讨论它)。

首先,看看截图:

以上只是导致这一问题,两个典型Nginx配置的case(其他场景也比较多)。

原因:在Nginx访问转接中配置了root(访问的容器),通常是整个应用的根路径,因为这样方便把静态文件交给Nginx来处理,就这么简单。

先看看应用文件中的WEB-INF文件夹安全说明:http://baike.baidu.com/view/1745468.htm  (熟悉j2ee的就不多说了!)

在Tomcat容器中,所有应用的WEB-INF文件夹是不能通过页面直接访问的。因为这个文件夹下信息重要,危害看看下面的一个case:

http://www.wooyun.org/bugs/wooyun-2010-07329

其他同样问题的站点应用(另外其他有此问题的站点就不一一介绍了!):

http://www.wooyun.org/bugs/wooyun-2010-07760

由于j2ee架构的特性,导致了整个应用层的暴露!

当然,我们会通过Nginx的简单配置解决这个问题:

但Nginx的这项配置绝对不是为了j2ee的安全问题而制订的这一项安全规范。

同样的问题在Apache + Tomcat的分层结构中也出现了。

我想说的是,这一问题只是在web容器搭配使用中,在j2ee的特性方面体现由为明显的安全问题。那其他语言或其他容器中了?更或者在其他两个或多个规范中,我们是否更要注意这些敏感信息的保护了?

简单地说,一个规范的隐私问题如何在另一个规范中得到有效保护?

那么这一问题应该算是谁的安全问题或者说谁该负责了?

不好说,设计标准中“松耦合”这一词用得真好,谁愿意去主动承担更多的责任?

但从Nginx + Tomcat中,个人认为是Nginx,因为Tomcat在整个web容器分层架构中权重要低!

要做更高层的产品就必须去兼容(让这一问题成为Nginx 默认安全配置项,毕竟WEB-INF文件夹对于j2ee来说太重要了!)底层产品(当然要看这一高层产品是怎么去描述自己的)!

分层架构web容器的配置安全的更多相关文章

  1. 基于纯Java代码的Spring容器和Web容器零配置的思考和实现(3) - 使用配置

    经过<基于纯Java代码的Spring容器和Web容器零配置的思考和实现(1) - 数据源与事务管理>和<基于纯Java代码的Spring容器和Web容器零配置的思考和实现(2) - ...

  2. Geronimo tomcat: 在 Apache Geronimo 插件体系中将 Apache Tomcat 这个优秀的 Web 容器整合至其中

    Apache Geronimo 灵活的插件体系将 Tomcat, OpenJPA, OpenEJB, ActiveMQ 等第三方组件集成至其中.本文从多角度介绍了在 Apache Geronimo 中 ...

  3. UI5-文档-2.5-开发混合Web容器

    开发混合Web容器 您可以将移动应用程序开发为混合应用程序,该混合应用程序由本机应用程序包装程序(例如PhoneGap)和HTML查看器组成,用于在用户界面上显示内容. 混合应用程序的优点是可以在应用 ...

  4. 001-软件架构概览、maven补充【分包工程、合并包、web容器插件】、git补充

    一.整体概述 1.1.共性问题 技术瓶颈.不成体系.不能实际使用.不能落地.无法入门 1.2.目标-软件架构 专注于构建:高可扩展.高性能.大数据量.高并发.分布式的系统架构. 各项技术.组合构建分布 ...

  5. 1、Web容器的理解&Tomcat的安装与配置

    Web容器的理解 <Java Web开发实战经典——基础篇>一书中对Web容器这一概念阐述得很好,借用其观点对Web容器加以理解: 想要运行一个Java Web的程序,则必须有相应的Web ...

  6. MyEclipse配置多个WEB容器

    MyEclipse支持多个同版本WEB容器同时运行 打开 然后按下图操作 咱们就得到了 下面需要配置新增加WEB容器的启动路径,在新增加的WEB容器上点击右键,选择箭头指向的菜单 打开的窗口如图,可以 ...

  7. IOC容器在web容器中初始化——(一)两种配置方式

    参考文章http://blog.csdn.net/liuganggao/article/details/44083817,http://blog.csdn.net/u013185616/article ...

  8. 在web.xml中配置监听器来控制ioc容器生命周期

    5.整合关键-在web.xml中配置监听器来控制ioc容器生命周期 原因: 1.配置的组件太多,需保障单实例 2.项目停止后,ioc容器也需要关掉,降低对内存资源的占用. 项目启动创建容器,项目停止销 ...

  9. 如何在web项目中配置Spring的Ioc容器

    在web项目中配置Spring的Ioc容器其实就是创建web应用的上下文(WebApplicationContext) 自定义要使用的IoC容器而不使用默认的XmlApplicationContext ...

随机推荐

  1. 【转】深入理解 C# 协变和逆变

    http://www.cnblogs.com/qixuejia/p/4383068.html 深入理解 C# 协变和逆变   msdn 解释如下: “协变”是指能够使用与原始指定的派生类型相比,派生程 ...

  2. linux系统mysql密码修改脚本

    编写了一个适用于阿里云linux系统 mysql密码修改脚本,使用阿里云提供的一键安装包配置后,如果account.log文件删除,并且忘记mysql密码时,可以通过脚本来重置mysql密码. 附:一 ...

  3. 【bzoj4999】This Problem Is Too Simple! 树链剖分+动态开点线段树

    题目描述 给您一颗树,每个节点有个初始值. 现在支持以下两种操作: 1. C i x(0<=x<2^31) 表示将i节点的值改为x. 2. Q i j x(0<=x<2^31) ...

  4. ZigBee学习一 任务处理函数_ProcessEvent

    ZigBee学习一 任务处理函数_ProcessEvent //任务处理函数UINT16 GenericApp_ProcessEvent( byte task_id, UINT16 events ){ ...

  5. mrpt安装

    1.mrpt2.0参 See PPA for mrpt 2.0 branch (for mrpt 1.5.* read here). sudo add-apt-repository ppa:josel ...

  6. JS 改变鼠标样式

    此片记录如何改变鼠标样式: document.body.style.cursor = "url(resource/pic/icons/magnifier3.cur) 12 12,crossh ...

  7. java修炼

    java程序员修炼之道——大牛告诉我们应该好好学习与修炼以下知识与技能   ———————————————————— 一:Java语言学习(对线程(thread),串行化,反射,网络编程,JNI技术, ...

  8. C#图片转成流,流转成图片,字节转图片,图片转字节的方法

    图片转成流 Bitmap b = new Bitmap(Server.MapPath(ppath)); Stream ms = new MemoryStream(); b.Save(ms, Syste ...

  9. java使用DBCP连接池创建工具类

    1.说明 java中有个扩展包 javax下面有个DataResource的接口  javax.sql.DataResource 该接口定义了连接池的方法规范 而DBCP框架有apache公司开发,他 ...

  10. 使用dvajs+webpack构建react开发环境

    之前我有写过博文介绍过dva.js及其用法,dva.js固然是个非常优秀的框架,但是如果用dev-cli来创建的话就会默认绑定使用roadhog而不是webpack.鉴于roadhog的文档要明显少于 ...