web服务器分层架构的资源文件映射安全以及在J2EE应用中的利用与危害
2015-07-30 13:37
615 查看
0x00 相关背景介绍
通常一些web应用我们会使用多个web服务器搭配使用,解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等!例如:Nginx+ Tomcat的分层结构(在下文中,我们也使用此例说明相关问题)
Nginx是一个高性能的 HTTP 和 反向代理 服务器 。
通常,我们是通过它来解决一些静态资源(如:图片、js及css等类型文件)访问处理。
Nginx详细介绍:http://baike.baidu.com/view/926025.htm
Tomcat服务器是一个免费的开放源代码的j2ee Web 应用服务器。
其中,它有一个比较明显的性能缺陷,那就是在处理静态资源特别是图片类型的文件特别吃力。从而能与Nginx(Ningx在处理静态资源方面性能特别优秀) 成为好基友!
Tomcat详细介绍:http://baike.baidu.com/view/10166.htm
0x01 成因
但正是由于这种处理方式或分层架构设计,如果对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题(特别是在j2ee应用中表现更为严重)!例如:Tomcat的WEB-INF目录,每个j2ee的web应用部署文件默认包含这个目录。
WEB-INF介绍:http://baike.baidu.com/view/1745468.htm
通常情况我们是无法通过Tomcat去访问它的,Tomcat的安全规范略中,它是一个受保护的目录。
为什么受保护了?我们来看看,它里面有什么:
点我看全文
相关文章推荐
- 学习网站
- 10个学习Android开发的网站推荐
- 同一无线络下电脑会打不开个别的网站网页,而手机却可以打开。
- 构建高并发高可用的电商平台架构实践
- web.xml
- keepalived双主模型的高可用LVS
- PCIe SSD在KVM场景中的应用及优化实践
- Linux的操作系统I2C驱动架构解说
- 基于keepalived双主模型的高可用LVS
- 基于keepalived双主模型的高可用LVS
- 基于keepalived双主模型的高可用LVS
- final 攻击网站的游戏
- 架构相关
- 手动编译安装LAMP架构,并且实现nagios图形化监控(四)
- IOS 视频直播/智能家居(一行行敲代码,从零开始)lesson:1整体架构
- HeartBeat+DRBD+NFS 高可用
- 在线CRC32网站
- 如何利用General框架进行三层架构开发
- 盘点国内网站常用的一些CDN公共库加速服务
- 代替谷歌搜索的网站