转自:http://hi.baidu.com/shineo__o/item/7520d54c24d234c71081da82
/ps:本以为这是一个偶然配置失误造成的问题,但最近几天无聊时测试发现,有此类似问题的站点就有上百个,所以在这里粗糙总结一下!
通常我们会碰到这样一个问题,在某个web容器中部署的应用的敏感信息是禁止直接访问的,但需要两个web容器搭配使用时,由于安全意识的疏忽,导致前者的私密信息能够通过http访问到,一个很简单的问题(可能大家也经常碰到),但经常容易被部署人员忽视,前段时间测试发现此类问题的站点还不少,其中不乏一些大型站点。
先看这张图:
发现Tomcat容器下应用的WEB-INF文件夹下能够被访问到?
上面是使用了Nginx + Tomcat容器分层,做了反向代理。
(
Nginx由于性能好、配置简单、且基本不需要软件成本;
Tomcat基本同上,但Tomcat有个缺点,处理静态文件性能低下。
综合一系列原因,对于一些创业型的或降低成本的互联网公司,都会选择j2ee及两者作为网站web容器层架构首选(优点还有很多,这里就不去讨论它)。
)
首先,看看截图:
以上只是导致这一问题,两个典型Nginx配置的case(其他场景也比较多)。
原因:在Nginx访问转接中配置了root(访问的容器),通常是整个应用的根路径,因为这样方便把静态文件交给Nginx来处理,就这么简单。
先看看应用文件中的WEB-INF文件夹安全说明:http://baike.baidu.com/view/1745468.htm (熟悉j2ee的就不多说了!)
在Tomcat容器中,所有应用的WEB-INF文件夹是不能通过页面直接访问的。因为这个文件夹下信息重要,危害看看下面的一个case:
http://www.wooyun.org/bugs/wooyun-2010-07329
其他同样问题的站点应用(另外其他有此问题的站点就不一一介绍了!):
http://www.wooyun.org/bugs/wooyun-2010-07760
由于j2ee架构的特性,导致了整个应用层的暴露!
当然,我们会通过Nginx的简单配置解决这个问题:
但Nginx的这项配置绝对不是为了j2ee的安全问题而制订的这一项安全规范。
同样的问题在Apache + Tomcat的分层结构中也出现了。
我想说的是,这一问题只是在web容器搭配使用中,在j2ee的特性方面体现由为明显的安全问题。那其他语言或其他容器中了?更或者在其他两个或多个规范中,我们是否更要注意这些敏感信息的保护了?
简单地说,一个规范的隐私问题如何在另一个规范中得到有效保护?
那么这一问题应该算是谁的安全问题或者说谁该负责了?
不好说,设计标准中“松耦合”这一词用得真好,谁愿意去主动承担更多的责任?
但从Nginx + Tomcat中,个人认为是Nginx,因为Tomcat在整个web容器分层架构中权重要低!
要做更高层的产品就必须去兼容(让这一问题成为Nginx 默认安全配置项,毕竟WEB-INF文件夹对于j2ee来说太重要了!)底层产品(当然要看这一高层产品是怎么去描述自己的)!