[发明专利]一种针对Tomcat安全配置的自动化检测方法

说明书

技术领域

本发明涉及Web安全领域，具体的说是一种针对Tomcat安全配置的自动化检测方法。

背景技术

Tomcat是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。

随着计算机、互联网技术的发展应用，互联网已经深入大众日常的工作生活，网络安全问题引起大众越来越多的关注。而Tomcat作为目前比较流行的Web服务器，其安全性也越发重要。关于Tomcat安全配置的问题，除了平时及时采取安全补丁、版本更新等方式之外，进行一些安全配置对于提升Tomcat安全性来说非常重要。

发明内容

本发明针对目前技术发展的需求和不足之处，提供一种针对Tomcat安全配置的自动化检测方法。

本发明所述一种针对Tomcat安全配置的自动化检测方法，解决上述技术问题采用的技术方案如下：所述针对Tomcat安全配置的自动化检测方法，针对Tomcat安全配置关键检查点，使用Python语言编写自动化检测程序，通过自动化检测程序自动化进行Tomcat配置文件解析，系统命令执行和数据分析，同时兼容Windows和Linux平台，使得Tomcat安全配置项可以进行一键式自动化检测；

该自动检测方法其具体步骤包括：

1）获取Tomcat安装路径参数，并获取自动化检测程序当前运行的操作系统类型；

2）通过执行Tomcat安装目录下bin目录中的version脚本获取Tomcat版本，并输出到结果文件中；

3）通过执行Windows/Linux本地命令检测Tomcat运行时的用户，并判断该用户是否有administrator/root权限，若有在结果文件中提示安全风险；

4）通过解析Tomcat安装目录下conf目录中的tomcat-users.xml配置文件检测Tomcat后台管理页面账号启用情况；

5）通过解析Tomcat安装目录下conf目录中的server.xml配置文件检测Tomcat应用程序目录权限设置情况；

6）通过解析Tomcat安装目录下conf目录中的server.xml配置文件检测Tomcat访问日志记录情况。

优选的，步骤2），若为Windows系统则使用 cmd /k call命令运行version.bat，若为Linux系统则使用sh命令运行version.sh。

优选的，步骤3），若为Windows系统则使用 tasklist /V|findstr “tomcat”命令检测Tomcat运行用户，然后使用net user命令查看本地组成员是否存在administrators，若存在则在结果文件中提示安全风险；若为Linux系统则使用ps -ef|grep tomcat命令检测Tomcat运行用户，若为root则在结果文件中提示安全风险。

优选的，步骤4），若tomcat-users.xml中<tomcat-users>标签下的user标签roles属性值中存在“manager-gui”项，且未被注释，则获取该项的username和password属性值输出到结果文件中，并提示安全风险。

优选的，步骤5），首先获取server.xml中<Host>标签的appBase属性的值，然后检查该路径下同时存在写入和执行权限的目录项，若存在则输出到结果文件中并提示安全风险。

优选的，步骤5），获取的appBase属性值若为“webapps”，则检查webapps目录下的ROOT目录、manager目录、host-manager目录，若存在且不为空，则将不为空的目录项名称输出到结果文件中并提示安全风险。

优选的，步骤6），首先查看server.xml中<Valve>标签的className属性值为“org.apache.catalina.valves.AccessLogValve”的项是否被注释，若被注释，则在结果文件中提示安全风险；若未被注释，则查看其pattern属性值内容，若不存在%h、%t、%r、%s项，则将缺少项输出在结果文件中并提示安全风险。