近期某一实验室遇到一个问题:web环境是windows+tomcat+mysql,检测到cookie注入,此时又不想修改代码.此时两种方案进行解决: 1.利用安软(waf)类进行检测防御.这里国内主要有安全狗,360服务器版本,加速乐等.通过对各个软件进行了解,个人推荐使用安全狗. 此时直接安装安全狗,会遇到无法安装,提示apache没有安装.因为上述的几个软件在windows下基本上都是有IIS,apache两个版本.此时使用tomcat无法进行检测. 解决方案:既然需要IIS和apache,…

Tomcat中间件经常遇到的漏洞: 1.Tomcat默认存在一个管理后台,默认的管理地址是http://IP或域名:端口号/manager/html 2.Axis2默认口令安全漏洞,默认的管理地址是http://IP或域名:端口号/axis2/axis2-admin/ , 按照webservice的部署经验,直接部署在根目录下的网站也比较多,则后台地址多为  http://*.*.*:8080/axis2-web/ .点击Administration 进入Axis2后台登录界面,输入默认口令ad…

在tomcat7下面 利用ExpiresFilter来控制静态文件缓存很方便,按照tomcat官网手动配置即可: 但是tomcat6 里面并没有 org.apache.catalina.filters.ExpiresFilter 这个接口类. 解决办法如下:引入 ExpiresFilter-1.0.0.jar下载jar:http://files.cnblogs.com/files/qiaoyihang/ExpiresFilter-1.0.0.zip下载源码: https://github.com…

开发者在本地提交更新到SVNserver后.往往须要測试人员又一次測试.为了将更新内容即时反映到測试server.能够利用post-commit脚本将SVN更新同步到測试server中. (1)利用SVN的工作副本(WORKINGCOPY)创建TOMCATWEB项目 cd /opt/tomcat_home/webapps svn co svn://svn_host/prjname/trunk prjname 改动tomcat的配置文件server.xml,在HOST标签中加入例如以下内容 <Co…

                  一.WAFの透明流模式     1)首先先配置WAF的网络,配置一个网桥接口,设置IP便于带内管理.             2)当然,如果需要不同网段之间都能够管理的话,就得需要在WAF设备上面配置一条出去到自己网络网关的路由.保证流量回回到网络中,因为WAF本身是没有路由出去的.     3)将物理接口划入到新添加的网桥中,确保该物理接口属于桥接口模式.点击网络管理>网络接口>port接口,编辑对应的接口.                       ★…

一.后台war包getshell 漏洞利用: tomcat在conf/tomcat-users.xml配置用户权限 <?xml version="1.0" encoding="UTF-8"?> <tomcat-users xmlns="http://tomcat.apache.org/xml" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:…

本篇主要介绍apache配置反向代理,介绍了两种情况:第一种是,只使用apache配置反向代理:第二种是,apache与应用服务器(tomcat)结合,配置反向代理,同时了配置了负载均衡. 准备工作 1.  2 个tomcat实例 2.  安装Apache server2.2 基于apache server配置反向代理 在这个配置中,只在apache server中配置,不需要在tomcat中配置. 1)  ${apacheserver}/conf/extra/httpd-vhosts.conf…

HTTP无状态的特性与Session.Cookie的存在 HTTP有一个特性:无状态的,就是前后两个HTTP事务它们并不知道对方的信息. 而为了维护会话信息或用户信息,一般可用Cookie或Session技术缓存信息. Cookie是存储在客户端的 Session是存储在服务端的 如何生成session id?如何根据session id获取session?如何生成session? 客户端请求服务器时,如果请求的服务涉及Session的访问,比如调用request.getSession()或re…

html5利用websocket完成的推送功能(tomcat) 利用websocket和java完成的消息推送功能,服务器用的是tomcat7.0.42,一些东西是自己琢磨的,也不知道恰不恰当,不恰当处,还请各位见谅,并指出. 程序简单来说,就是客户A可以发送消息给客户B,但有很多可以扩展的地方, 比如 1.如果加入数据库后,A发消息时客户B未上线,服务端将会把消息存在数据库中,等客户B上线后,在将消息取出发送给客户B 2.服务端也可发送消息到任意客户端上. 程序的运行效果截图如下(在chrom…

1.Nginx加载Lua环境默认情况下Nginx不支持Lua模块, 需要安装LuaJIT解释器, 并且需要重新编译Nginx, 建议使用openrestry 1)环境准备 [root@localhost ~]# yum -y install gcc gcc-c++ make pcre-devel zlib-devel openssl-devel 2)下载luajit和ngx_devel_kit以及lua-nginx-module [root@localhost ~]# cd /usr/local…