JSP服务的组建及安全管理(ppt 30页).ppt

第14章JSP服务的组建与安全管理 本章重点介绍如何在现有的Web服务器环境中架设一台JSP服务器 14 1初识JSP服务 JSP JavaServerPages 技术为创建显示动态生成内容的Web页面提供了一个简捷而快速的方法 JSP技术的设计目的是 使得构造基于Web的应用程序更加容易和快捷 而这些应用程序能够与各种Web服务器 应用服务器 浏览器和开发工具共同工作 关于JSP服务器运行机制如图所示 14 23种Web服务器环境下组建JSP服务 本节重点介绍3种架设JSP服务的方法 所需软件介绍配置前的准备JSP环境的配置方案 1 J2SDK Java2的软件开发工具 是Java应用程序的基础 JSP是基于Java技术的 所以配置JSP环境之前必须要安装J2SDK 2 Apache服务器 Apache组织开发的一种常用Web服务器 提供Web服务 3 Tomcat服务器 Apache组织开发的一种JSP引擎 本身具有Web服务器的功能 可以作为独立的Web服务器来使用 但是 在作为Web服务器方面 Tomcat处理静态HTML页面时不如Apache迅速 也没有Apache健壮 所以我们一般将Tomcat与Apache配合使用 让Apache对网站的静态页面请求提供服务 而Tomcat作为专用的JSP引擎 提供JSP解析 以得到更好的性能 并且Tomcat本身就是Apache的一个子项目 所以Tomcat对Apache提供了强有力的支持 对于初学者来说 Tomcat是一个很不错的选择 4 mod jk dll Apache组织Jakarta项目组开发的使Apache支持Tomcat的插件 有了这个插件 Tomcat能够和Apache进行无缝连接 mod jk dll最新的版本为mod jk 1 2 6 2 0 50 dll 5 tc4ntiis zip Apache组织Jakarta项目组开发的使IIS支持Tomcat的插件 14 2 1所需软件介绍 14 2 2配置前的准备 准备一个测试用的JSP网页安装J2SDK 打开 记事本 程序 从中输入代码 并保存为test jsp 注意扩展名为 jsp 不管哪种方案 在安装和配置JSP引擎之前必须先完成J2SDK的安装 安装J2SDK在Windows下 直接运行下载的j2sdk windows i586 exe程序 根据安装向导将其安装到一个目录中 如 D j2sdk1 4 1 添加环境变量 1 如果操作系统是Windows98 可以用 记事本 程序直接编辑Autoexec bat 添加下面命令行 PATH PATH D j2sdk1 4 2 01 binSETJAVA HOME D j2sdk1 4 2 01SETCLASSPATH D j2sdk1 4 2 01 lib tools jar 添加完成后 选择 文件 保存 命令 然后重新启动计算机 这样所添加的环境变量才会生效 2 如果操作系统是Windows2000 XP 2003 操作步骤是 右击 我的电脑 在弹出的快捷菜单中选择 属性 命令 在 系统属性 窗口中单击 高级 标签 然后单击 环境变量 按钮 弹出 环境变量 对话框 从中单击 新建 按钮将PATH JAVA HOME和CLASSPATH三个变量添加到 系统变量 列表框中 变量值同上 14 2 3JSP环境的配置方案 方案一 J2SDK与Tomcat整合安装Tomcat配置Tomcat的环境变量测试默认服务方案二 J2SDK Apache Tomcat整合配置Apache整体测试方案三 J2SDK IIS Tomcat整合 1 双击运行Tomcat安装程序jakarta tomcat 4 1 30 exe 它会自动寻找J2SDK的位置 首先进入用户许可协议对话框 单击IAgree按钮继续下面的操作 2 选择安装组件 在这里我们就安装默认组件 单击Next按钮继续下面的操作 3 选择安装目录 推荐将Tomcat安装到非系统目录下 例如 在这里我们将它安装到d Tomcat4 1 单击Next按钮继续下面的操作 4 接着系统就会进入安装阶段 经过4 7分钟 Tomcat就会完成安装 5 当Tomcat安装完成后 安装程序会进入一个配置Tomcat的窗口 在HTTP 1 1ConnectorPort文本框中输入Tomcat连接端口 默认端口为8080 此端口就是客户端在浏览器中访问JSP程序所用的端口 在AdministratorLogin选项组中的UserName Password文本框中输入通过浏览器远程管理Tomcat的用户名和密码 此步设置完成后 即可退出Tomcat安装程序 右击 我的电脑 在弹出的快捷菜单中选择 属性 命令 在 系统属性 对话框中单击 高级 标签 然后单击 环境变量 按钮 弹出 环境变量 对话框 单击 新建 按钮添加一个新的环境变量名 TOMCAT HOME 变量值为 D Tomcat4 1 1 双击Tomcat安装目录下的D tomcat4 1 bin startup bat 启动Tomcat 同目录中的shutdown bat为关闭Tomcat 2 启动Tomcat后 双击打开桌面上的 浏览器 程序 在浏览器的 地址 下拉列表框中输入本地服务器的IP地址及Tomcat所使用的端口 http 192 168 1 12 8080 Tomcat默认端口为8080 如果在浏览器中看到Tomcat的欢迎界面 表示Tomcat工作正常 3 把刚才编写好的test jsp程序复制到D Tomcat4 1 webapps examples jsp目录下 然后在浏览器的 地址 下拉列表框中输入http 192 168 1 12 8080 examples jsp test jsp 如果浏览器中显示 HelloWorld 则说明JSP环境配置成功 1 安装Apache 2 按照方案一的步骤安装Tomcat 并保证它正常运行 3 将mod jk 1 2 6 2 0 50 dll复制到Apache安装目录下的modules目录中 并更名为mod jk dll 4 建立mod jk模块工作所需要的工作文件 打开文本编辑器 输入下列语句 workers tomcat home D tomcat4 1 让mod jk模块知道Tomcat workers java home D j2sdk1 4 2 01 让mod jk模块知道JSDK ps worker list ajp13 mod jk的模块版本 worker ajp13 port 8009 mod jk的工作端口 worker ajp13 host localhostworker ajp13 type ajp13worker ajp13 lbfactor 1 1 将index jsp设置为默认打开页 查找 DirectoryIndex 在 index html var 后面再添加 index jsp 2 在httpd conf的最后加入下面这段代码 后面的文字为解释语句 服务器将其忽略 添加完毕后选择 文件 保存 命令 对所刚才所作的修改进行保存 将test jsp程序复制到D Tomcat4 1 webapps examples jsp目录下 打开 浏览器 程序 在浏览器的 地址 下拉列表框中输入 http 192 168 1 12 examples jsp test jsp 如果浏览器中出现HelloWorld 就表明Apache和Tomcat整合成功 1 按照方案一的步骤安装Tomcat 并保证它正常运行 2 将下载的tc4ntiis zip直接解压缩到f tomcat4目录下 查看配置所需要的文件 确保它们在以下位置 D Tomcat4 1 server lib ajp jarD Tomcat4 1 server lib tomcat util jarD Tomcat4 1 bin native isapi redirect dllD Tomcat4 1 conf ntiis workers propertiesD Tomcat4 1 conf ntiis uriworkermap propertiesD Tomcat4 1 conf ntiis iis redirect regD Tomcat4 1 log iis redirect log 3 用文本编辑器打开D Tomcat4 1 conf ntiis workers properties 修改下列值 workers tomcat home D tomcat4 1workers java home D j2sdk1 4 2 01 4 双击运行D Tomcat4 1 conf ntiis iis redirect reg 将此注册文件内的信息添加到注册表中 但是要修改log file worker file worker mount file这3个键的键值 以适合你的环境 比如本文中的Tomcat安装在D Tomcat4 1目录下 而不是默认的C tomcat4 5 打开 Internet信息服务 窗口 在默认站点上添加一个新的虚拟目录 名称为 jakarta 将这个虚拟目录指向D Tomcat4 1 bin native 并启动该默认站点 6 打开 Internet信息服务 窗口 右击 www 54hack org 站点名 在弹出的快捷菜单中选择 属性 命令 在打开的 www 54hack org属性 对话框中单击 ISAPI筛选器 标签 然后单击 添加 按钮添加一个ISAPI筛选器 输入名字为 JakartaRedirect 可执行文件路径为 D Tomcat4 1 bin native isapi redirect dll 最后重新启动IIS服务 发现在ISAPI筛选器列表框中JakartaRedirect的状态是一个绿色向上的箭 表示运行成功 6 打开 Internet信息服务 窗口 右击 www 54hack org 站点名 在弹出的快捷菜单中选择 属性 命令 在打开的 www 54hack org属性 对话框中单击 ISAPI筛选器 标签 然后单击 添加 按钮添加一个ISAPI筛选器 输入名字为 JakartaRedirect 可执行文件路径为 D Tomcat4 1 bin native isapi redirect dll 最后重新启动IIS服务 发现在ISAPI筛选器列表框中JakartaRedirect的状态是一个绿色向上的箭 表示运行成功 7 重新启动IIS和Tomcat 8 整体测试 将test jsp程序复制到D Tomcat4 1 webapps examples jsp目录下 打开 浏览器 程序 在浏览器的 地址 下拉列表框中里输入http 192 168 1 12 examples jsp test jsp 如果浏览器中出现HelloWorld 就表明IIS和Tomcat整合成功 14 3打造安全的JSP服务 本节重点对JSP安全问题进行分类阐述和提出解决的建议 当网络编程越来越方便 系统功能越来越强大时 安全性却成指数倍地下降 这恐怕就是网络编程的不幸和悲哀了 自从推出之日起 JSP编程语言由于它的快速 平台无关 可扩展 面向对象等特性得到了越来越广泛的应用 越来越多的厂家开发出了各种各样的支持平台 也有越来越多的网站开始将自己的平台架构在JSP环境中 但是随之而来的就是一系列的安全漏洞问题 如源代码暴露漏洞 远程任意命令执行漏洞等 更为头疼的是 随着JSP越来越广泛的应用 安全问题也越来越多 源代码暴露类远程程序执行类其他类别 源代码暴露类别主要指的是程序源代码会以明文的方式返回给访问者 解决办法如下 1 在服务器软件的网站上下载补丁 2 IIS以前一个有效解决ASP的漏洞就是将ASP程序单独放置于一个目录中 将目录用户的权限设置为只能执行不能读取 在JSP环境下同样可以通过设置服务器的环境来解决这个问题 简单的说 就是将一些比较重要的目录如Web Inf classes等设置为访问权限 不允许读和取只允许执行 以Apache下解决为例 可以在httpd conf文件中添加目录Web Inf 并设置Denyfromall等属性 另一种比较笨的解决方法就是 在每个重要目录下添加一个默认起始页面如Index htm等 这样读取目录就会返回给访问者这个文件 3 找到服务器软件的JSP执行映射Servlet文件 class为扩展名 将它用JAD软件反编译 在反编译后的源代码中找到处理Eception的方法 然后将方