网站整体规划方案,福建网站备案,网络营销推广方案策划书,怎么删除一个wordpress转自#xff1a;http://hi.baidu.com/shineo__o/item/7520d54c24d234c71081da82 /ps:本以为这是一个偶然配置失误造成的问题#xff0c;但最近几天无聊时测试发现#xff0c;有此类似问题的站点就有上百个#xff0c;所以在这里粗糙总结一下#xff01; 通常我们会碰到这样…转自http://hi.baidu.com/shineo__o/item/7520d54c24d234c71081da82 /ps:本以为这是一个偶然配置失误造成的问题但最近几天无聊时测试发现有此类似问题的站点就有上百个所以在这里粗糙总结一下 通常我们会碰到这样一个问题在某个web容器中部署的应用的敏感信息是禁止直接访问的但需要两个web容器搭配使用时由于安全意识的疏忽导致前者的私密信息能够通过http访问到一个很简单的问题可能大家也经常碰到但经常容易被部署人员忽视前段时间测试发现此类问题的站点还不少其中不乏一些大型站点。 先看这张图 发现Tomcat容器下应用的WEB-INF文件夹下能够被访问到 上面是使用了Nginx Tomcat容器分层做了反向代理。 Nginx由于性能好、配置简单、且基本不需要软件成本 Tomcat基本同上但Tomcat有个缺点处理静态文件性能低下。 综合一系列原因对于一些创业型的或降低成本的互联网公司都会选择j2ee及两者作为网站web容器层架构首选优点还有很多这里就不去讨论它。 首先看看截图 以上只是导致这一问题两个典型Nginx配置的case其他场景也比较多。 原因在Nginx访问转接中配置了root访问的容器通常是整个应用的根路径因为这样方便把静态文件交给Nginx来处理就这么简单。 先看看应用文件中的WEB-INF文件夹安全说明http://baike.baidu.com/view/1745468.htm 熟悉j2ee的就不多说了 在Tomcat容器中所有应用的WEB-INF文件夹是不能通过页面直接访问的。因为这个文件夹下信息重要危害看看下面的一个case http://www.wooyun.org/bugs/wooyun-2010-07329 其他同样问题的站点应用另外其他有此问题的站点就不一一介绍了 http://www.wooyun.org/bugs/wooyun-2010-07760 由于j2ee架构的特性导致了整个应用层的暴露 当然我们会通过Nginx的简单配置解决这个问题 但Nginx的这项配置绝对不是为了j2ee的安全问题而制订的这一项安全规范。 同样的问题在Apache Tomcat的分层结构中也出现了。 我想说的是这一问题只是在web容器搭配使用中在j2ee的特性方面体现由为明显的安全问题。那其他语言或其他容器中了更或者在其他两个或多个规范中我们是否更要注意这些敏感信息的保护了 简单地说一个规范的隐私问题如何在另一个规范中得到有效保护 那么这一问题应该算是谁的安全问题或者说谁该负责了 不好说设计标准中“松耦合”这一词用得真好谁愿意去主动承担更多的责任 但从Nginx Tomcat中个人认为是Nginx因为Tomcat在整个web容器分层架构中权重要低 要做更高层的产品就必须去兼容让这一问题成为Nginx 默认安全配置项毕竟WEB-INF文件夹对于j2ee来说太重要了底层产品当然要看这一高层产品是怎么去描述自己的 转载于:https://www.cnblogs.com/dongchi/p/4067545.html
