[发明专利]一种针对Tomcat安全配置的自动化检测方法

权利要求书

1.一种针对Tomcat安全配置的自动化检测方法，其特征在于, 针对Tomcat安全配置关键检查点，使用Python语言编写自动化检测程序，通过自动化检测程序自动化进行Tomcat配置文件解析，系统命令执行和数据分析，同时兼容Windows和Linux平台，使得Tomcat安全配置项可以进行一键式自动化检测；

其具体步骤包括：

1）获取Tomcat安装路径参数，并获取自动化检测程序当前运行的操作系统类型；

2）通过执行Tomcat安装目录下bin目录中的version脚本获取Tomcat版本，并输出到结果文件中；

3）通过执行Windows/Linux本地命令检测Tomcat运行时的用户，并判断该用户是否有administrator/root权限，若有在结果文件中提示安全风险；

4）通过解析Tomcat安装目录下conf目录中的tomcat-users.xml配置文件检测Tomcat后台管理页面账号启用情况；

5）通过解析Tomcat安装目录下conf目录中的server.xml配置文件检测Tomcat应用程序目录权限设置情况；

6）通过解析Tomcat安装目录下conf目录中的server.xml配置文件检测Tomcat访问日志记录情况。

2.根据权利要求1所述一种针对Tomcat安全配置的自动化检测方法，其特征在于,所述步骤1），使用 platform模块中的 platform.platform()方法，获取所述自动化测试程序当前运行的操作系统类型。

3.根据权利要求1所述一种针对Tomcat安全配置的自动化检测方法，其特征在于,所述步骤2），本地命令执行时，使用 subprocess模块的 subprocess.Popen方法。

4.根据权利要求3所述一种针对Tomcat安全配置的自动化检测方法，其特征在于,所述步骤2），若为Windows系统则使用 cmd /k call命令运行version.bat，若为Linux系统则使用sh命令运行version.sh。

5.根据权利要求4所述一种针对Tomcat安全配置的自动化检测方法，其特征在于, 所述步骤3），若为Windows系统则使用 tasklist /V|findstr “tomcat”命令检测Tomcat运行用户，然后使用net user命令查看本地组成员是否存在administrators，若存在则在结果文件中提示安全风险。

6.根据权利要求4所述一种针对Tomcat安全配置的自动化检测方法，其特征在于, 所述步骤3），若为Linux系统则使用ps -ef|grep tomcat命令检测Tomcat运行用户，若为root则在结果文件中提示安全风险；否则查看/etc/passwd中对应用户行的第4个参数是否为0，若为0即为root用户组，则在结果文件中提示安全风险。

7.根据权利要求5或6所述一种针对Tomcat安全配置的自动化检测方法，其特征在于,所述步骤4），若tomcat-users.xml中<tomcat-users>标签下的user标签roles属性值中存在“manager-gui”项，且未被注释，则获取该项的username和password属性值输出到结果文件中，并提示安全风险。

8.根据权利要求7所述一种针对Tomcat安全配置的自动化检测方法，其特征在于,所述步骤5），首先获取server.xml中<Host>标签的appBase属性的值，然后检查该路径下同时存在写入和执行权限的目录项，若存在则输出到结果文件中并提示安全风险。

9.根据权利要求8所述一种针对Tomcat安全配置的自动化检测方法，其特征在于, 所述步骤5），获取的appBase属性值若为“webapps”，则检查webapps目录下的ROOT目录、manager目录、host-manager目录，若存在且不为空，则将不为空的目录项名称输出到结果文件中并提示安全风险。

10.根据权利要求9所述一种针对Tomcat安全配置的自动化检测方法，其特征在于,所述步骤6），首先查看server.xml中<Valve>标签的className属性值为“org.apache.catalina.valves.AccessLogValve”的项是否被注释，若被注释，则在结果文件中提示安全风险；若未被注释，则查看其pattern属性值内容，若不存在%h、%t、%r、%s项，则将缺少项输出在结果文件中并提示安全风险。