精华内容
下载资源
问答
  • 中间件加固
    2019-02-24 20:47:28

    1. 适用情况

    适用于使用Apahce进行部署的Web网站。

    2. 技能要求

    熟悉Apache配置文件,能够利用Apache进行建站,并能针对站点使用Apache进行安全加固。

    3. 前置条件

    1、 根据站点开放端口,进程ID,确认站点采用Apache进行部署;

    2、 找到Apache配置文件

    4. 详细操作

    4.1 禁止目录浏览

    (1) 备份httpd.conf配置文件,修改内容:

    Options FollowSymLinks
    
    AllowOverride None
    
    Order allow,deny
    
    Allow from all

    将Options Indexes FollowSymLinks 中的Indexes 去掉,就可以禁止 Apache显示该目录结构。

    (2)设置 Apache 的默认页面:

    DirectoryIndex index.html

    其中index.html即为默认页面,可根据情况改为其它文件,部分服务器需要在目录下新建空白的index.htm才能生效。

    (3)重新启动 Apache 服务

    4.2 日志配置

    (1) 备份httpd.conf配置文件,修改内容:

    Window下:

    LogFormat "%h %l %u %t \"%r\" %>s %b \"%i\" \"%i\"" combined
    
    CustomLog "|bin/rotatelogs.exe logs/localhost_access_log.%Y-%m-%d.log 86400 480" combined

    增加红色字体这一行,即可开启apache日志并且按照日期划分创建。

    (2) 重新启动 Apache 服务

    4.3 限制目录执行权限

    (1) 备份httpd.conf配置文件,修改内容:

    Order Allow,Deny
    
    Deny from all

    4.4 错误页面处理

    (1)备份httpd.conf配置文件,修改内容:

    ErrorDocument 400 /custom400.html
    
    ErrorDocument 401 /custom401.html
    
    ErrorDocument 403 /custom403.html
    
    ErrorDocument 404 /custom404.html
    
    ErrorDocument 405 /custom405.html
    
    ErrorDocument 500 /custom500.html

    其中Customxxx.html 为要设置的错误页面。

    (2)重新启动 Apache 服务生效

    4.5 最佳操作实践

    4.5.1隐藏Apache版本号

    (1) 备份httpd.conf 文件,修改内容:

    ServerSignature Off
    
    ServerTokens Prod

    (2) 重新启动 Apache 服务

    4.5.2限制IP访问

    (1) 备份httpd.conf配置文件,修改内容:

    Options FollowSymLinks
    
    AllowOverride None
    
    Order Deny,Allow
    
    Deny from all
    
    Allow from 192.168.204.0/24

    只允许从192.168.204.0/24 IP段内的用户访问,一般在限制后台访问时用到。

    4.6 风险操作项

    4.6.1 Apache 降权

    Linux中操作步骤为:

    备份httpd.conf文件

    修改:

    User nobody
    
    Group# -1

    重启 APACHE

    /apachectl restart

    Windows中操作步骤为:

    新建系统用户组www,新建系统用户apache并设置密码。

    运行services.msc打开服务管理界面,双击apache2.2服务打开属性页,点击“登录”选项卡,选择“此账户”,填写账号和密码,确定。

    4.6.2 防CC攻击

    备份httpd.conf配置文件,修改内容:

    Timeout 10
    
    KeepAlive On
    
    KeepAliveTimeout 15
    
    AcceptFilter http data
    
    AcceptFilter https data

    重新启动 Apache 服务生效

    4.6.3 限制请求消息长度

    备份httpd.conf配置文件,修改内容:

    LimitRequestBody 102400

    重启apache生效

    上传文件的大小也会受到此参数限制。

     

     

    转自:https://blog.csdn.net/qq_23936389/article/details/85013919

     

    更多相关内容
  • 中间件加固方案.pdf

    2019-10-10 08:57:52
    好多系统需要做安全评测,针对使用的中间件产品需要进行加固处理,总结的常见加固策略供参考,具体还以自己的测试要求为准
  • 14、中间件加固

    2022-05-31 10:14:07
    中间件加固

    什么是中间件

    浏览器:firefox浏览器、IE浏览器、safari浏览器、Chrome浏览器等
    服务程序:Apache、nginx、IIS、Tomcat等
    数据库:MySQL、oracle、Redis等

    Apache加固

    防止webshell越权使用

    在这里插入图片描述

    非超级用户权限禁止修改Apache主目录

    在这里插入图片描述
    日志文件如果给了执行权限,那么shell脚本可能会注入到日志文件中被执行。

    修改日志级别,记录格式

    在这里插入图片描述

    防止访问网站目录以外的文件

    在这里插入图片描述
    /目录配置denied拒绝,如果不拒绝就会有目录穿越,然后造成敏感文件泄露

    防止使用web直接浏览目录内容

    在这里插入图片描述
    防止目录遍历漏洞,配置里不要Indexes

    防止通过默认错误回馈泄露敏感信息

    在这里插入图片描述
    错误信息可能会泄露有用信息

    合理设置会话时间,防止拒绝服务

    在这里插入图片描述
    防止DDOS
    超时时间10秒,保持连接打开,连接超时15秒

    避免被针对漏洞,Apache版本号泄露

    在这里插入图片描述
    针对当前中间件的版本是否显示,如果不隐藏,Apache的版本会暴露。

    防止trace方法被恶意利用泄露信息

    在这里插入图片描述

    确保不适用cgi程序的情况下,关闭cgi功能

    在这里插入图片描述

    服务器多个IP时,绑定业务接口IP

    在这里插入图片描述

    禁用put、delete等危险的http方法

    在这里插入图片描述

    防止非法文件绕过合法性检查

    在这里插入图片描述

    禁止php页面对sql注入给予反馈

    在这里插入图片描述
    给符号加上转义符

    防止溢出漏洞

    在这里插入图片描述
    请求包很大的话就可能会溢出。

    Nginx加固

    避免被针对版本直接使用漏洞

    在这里插入图片描述
    隐藏版本信息

    某些目录为运维页面,不要公开访问

    在这里插入图片描述

    敏感目录使用白名单访问

    在这里插入图片描述
    比较敏感的目录,使用白名单。

    防止通过浏览器直接查看目录内容

    在这里插入图片描述
    防止目录穿越,底裤扒光

    制作重定向,防止默认页面存在安全隐患

    在这里插入图片描述

    修改日志格式,便于审计

    在这里插入图片描述

    只允许常用的get和post方法,减少漏洞

    在这里插入图片描述

    减缓被ddos攻击时资源消耗速度

    在这里插入图片描述
    rate=20r/s 每个ip每秒不超过20个请求

    缓解ddos造成的影响

    在这里插入图片描述

    防止通过其他途径使用本网站资源

    在这里插入图片描述
    防盗链
    valid_referers白名单 192.168.0.1 *.baidu.com来的资源是合法的

    防止高权限运行nginx进程

    在这里插入图片描述

    防止非法后缀被服务器识别(PHP)

    在这里插入图片描述
    只有.php后缀的才解析为php,防止解析漏洞将其他文件解析为php。

    Tomcat加固

    如果不需要Tomcat控制台(Tomcat默认页面)就关掉

    在这里插入图片描述

    开启日志

    在这里插入图片描述
    使用common日志格式,resolveHosts 不进行反向解析
    但是日志文件会越来越大,硬盘资源会被占用完。如果要开启日志,搜一下自动清理。

    避免泄露敏感信息

    在这里插入图片描述
    有几个站点,就改几个站点的。

    防止浏览器查看目录内容

    在这里插入图片描述

    禁用不安全的http请求方式

    在这里插入图片描述
    Tomcat有个PUT漏洞

    访问来源白名单

    在这里插入图片描述
    allow白名单 deny黑名单

    缓解ddos攻击带来的过度资源占用

    在这里插入图片描述

    降低被扫描的几率

    在这里插入图片描述
    修改端口,端口号范围1~65535

    防止传输信息被截获解读

    在这里插入图片描述

    修补最新的漏洞

    访问http://httpd.tomcat.org下载最新稳定版补丁
    先看Tomcat版本,再去找对应的补丁。

    展开全文
  • 熟悉WebSphere安装部署,熟悉WebSphere常见漏洞利用方式,并能针对站点使用WebSphere进行安全加固。 3. 前置条件 根据站点开放端口,进程ID,确认站点采用WebSphere进行部署; 找到WebSphere站点位置 4. 详细...

    1. 适用情况

    适用于使用WebSphere进行部署的Web网站。


    2. 技能要求

    熟悉WebSphere安装部署,熟悉WebSphere常见漏洞利用方式,并能针对站点使用WebSphere进行安全加固。


    3. 前置条件

    根据站点开放端口,进程ID,确认站点采用WebSphere进行部署;

    找到WebSphere站点位置


    4. 详细操作

    4.1  账号安全

    参考配置操作:

    1、修改用户口令,口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号四类中至少 3 类。

    4.2  日志配置

    参考配置操作:

    1、在导航窗格中,单击服务器>应用程序服务器-->单击您要

    使用的服务器的名称(server1)-->在“故障诊断”下面,单击NCSA 访问和 HTTP 错误记录 -->在常规属性中,勾选在服务器启动时启用记录服务。

    2、重启服务生效。日志文件地址:${WebSphere}\AppServer\profiles\AppSrv01\logs\server1\http_access.log


    4.3  最佳操作实践

    4.3.1 禁止目录浏览

    参考配置操作:

    用文本编辑器打开

    $WAS_HOME/<profilepath>/config/cells/<hostname>/applications/
     
    <yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi

    设置fileServingEnabled="false"

    设置directoryBrowsingEnabled="false"

    4.3.2 错误页面处理

    参考配置操作:

    1、用文本编辑器打开

    ${WebSphere}/<profilepath>/config/cells/<hostname>/applications/
    <yourapplication>.ear/<yourapplication>.war/WEB-INF/ibm-web-ext.xmi

    设置defaultErrorPage=” /error.html”

    2、在站点根目录

    ${WebSphere}\AppServer\profiles\AppSrv01\installedApps \<hostname>\<yourapplication>.ear\<yourapplication>.war/

     新建error.html文件

    4.3.3 安全备份

    参考配置操作:

    每周备份一次 config 和 properties 目录,至少每月备份一次 WebSphere 全目录,生产环境配置更改前必须先备份。

    (1) 以 WAS 身份,执行:

    #$WAS_HOME/bin/backupConfig.sh

    (2)如以 root 身份,最好运行:

    #tar cvf $WAS_HOME/profiles/default/config

    #tar cvf $WAS_HOME/profiles/default/properties

    4.3.4 启用会话安全性

    参考配置操作:

    1、在导航窗格中,单击服务器>应用程序服务器-->单击您要

    使用的服务器的名称(server1)-->单击会话管理 -->在常规属性中,勾选覆盖会话管理和安全性集成 。

    4.4  风险操作项

    4.4.1 删除默认程序

    参考配置操作:

    以管理员身份打开管理控制台,执行:

    1. 点击”应用程序”-->”企业应用程序”

    2. 选中例子程序, 然后点击”卸载”按钮,  卸载”

    DefaultApplication”、“PlantsByWebSphere  “、

    “SamplesGallery”、“ivtApp”等子程序

    3. 点击保存到主配置,自动删除

    ${WebSphere}\AppServer\profiles\AppSrv01\installedApps目录下源码。

    4.4.2 补丁更新

    查看版本信息:

    cd $WAS_HOME/bin

    /versionInfo.sh

    查找最新补丁及版本并进行安装


    ————————————————
    版权声明:本文为CSDN博主「Bypass--」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
    原文链接:https://blog.csdn.net/qq_23936389/article/details/86150485

    展开全文
  • 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固。 3. 前置条件 1、 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 2、 找到Nginx安装目录,针对具体站点对配置文件进行修改; ...

    1. 适用情况

    适用于使用Nginx进行部署的Web网站。


    2. 技能要求

    熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固。


    3. 前置条件

    1、 根据站点开放端口,进程ID,确认站点采用Nginx进行部署;

    2、 找到Nginx安装目录,针对具体站点对配置文件进行修改;

    3、 在执行过程中若有任何疑问或建议,应及时反馈。


    4. 详细操作

    4.1 日志配置

    1、备份nginx.conf 配置文件。

    修改配置,按如下设置日志记录文件、记录内容、记录格式,添加标签为main的log_format格式

    (http标签内,在所有的server标签内可以调用):
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
       '$status $body_bytes_sent "$http_referer" '
       '"$http_user_agent" "$http_x_forwarded_for"';

    2、在server标签内,定义日志路径

    access_log logs/host.access.log main

    3、保存,然后后重启nginx服务。



    4.2 禁止目录浏览

    备份nginx.conf配置文件。

    编辑配置文件,HTTP模块添加如下一行内容:

    autoindex off;

    保存,然后后重启nginx服务。


    4.3 限制目录执行权限

    备份nginx.conf配置文件。

    编辑配置文件,在server标签内添加如下内容:

    #示例:去掉单个目录的PHP执行权限
    location ~ /attachments/.*\.(php|php5)?$ {
    deny all;
    }
     
    #示例:去掉多个目录的PHP执行权限
    location ~
    /(attachments|upload)/.*\.(php|php5)?$ {
    deny all;
    }

    保存,然后后重启nginx服务。

    需要注意两点:

    1、以上的配置文件代码需要放到 location ~ .php{...}上面,如果放到下面是无效的;

    2、attachments需要写相对路径,不能写绝对路径。

    4.4 错误页面重定向

    备份nginx.conf配置文件。

    修改配置,在http{}段加入如下内容

    http {
    ...
    fastcgi_intercept_errors on;
    error_page 401 /401.html;
    error_page 402 /402.html;
    error_page 403 /403.html;
    error_page 404 /404.html;
    error_page 405 /405.html;
    error_page 500 /500.html;
    ...
    }
    修改内容:
    ErrorDocument 400 /custom400.html
    ErrorDocument 401 /custom401.html
    ErrorDocument 403 /custom403.html
    ErrorDocument 404 /custom404.html
    ErrorDocument 405 /custom405.html
    ErrorDocument 500 /custom500.html
    其中401.html、402.html、403.html、404.html、405.html、500.html 为要指定的错误提示页面

    保存,重启 nginx 服务生效



    4.5 最佳经验实践

    4.5.1 隐藏版本信息

    备份nginx.conf配置文件。

    编辑配置文件,添加http模块中如下一行内容:

    server_tokens off;

    保存,然后后重启nginx服务。

    4.5.2 限制HTTP请求方法

      备份nginx.conf配置文件。

      编辑配置文件,添加如下内容:

    if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 444;
    }

    保存,然后后重启nginx服务。

    备注:只允许常用的GET和POST方法,顶多再加一个HEAD方法

    4.5.3 限制IP访问

    备份nginx.conf配置文件。

    编辑配置文件,在server标签内添加如下内容:

    location / {
    deny 192.168.1.1; #拒绝IP
    allow 192.168.1.0/24; #允许IP
    allow 10.1.1.0/16; #允许IP
    deny all; #拒绝其他所有IP
    }

    保存,然后后重启nginx服务。

    4.5.4 限制并发和速度

      备份nginx.conf配置文件。

      编辑配置文件,在server标签内添加如下内容:

    limit_zone one $binary_remote_addr 10m;
    server
    {
         listen   80;
         server_name down.test.com;
         index index.html index.htm index.php;
         root  /usr/local/www;
         #Zone limit;
         location / {
             limit_conn one 1;
             limit_rate 20k;
         }
    ………
    }

    保存,然后重启nginx服务。

    4.5.5 控制超时时间

      备份nginx.conf配置文件。

      编辑配置文件,具体设置如下:

    client_body_timeout 10;  #设置客户端请求主体读取超时时间
    client_header_timeout 10;  #设置客户端请求头读取超时时间
    keepalive_timeout 5 5;  #第一个参数指定客户端连接保持活动的超时时间,第二个参数是可选的,它指定了消息头保持活动的有效时间
    send_timeout10;  #指定响应客户端的超时时间

    保存,然后后重启nginx服务。


    4.6 风险操作项

    4.6.1 Nginx降权

      备份nginx.conf配置文件。

      编辑配置文件,添加如下一行内容:

    user nobody;

     保存,然后后重启nginx服务。

    4.6.2 防盗链

      备份nginx.conf配置文件。

      编辑配置文件,在server标签内添加如下内容:

    location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip)$ {
        valid_referers none blocked server_names *.nsfocus.com http://localhost baidu.com;
        if ($invalid_referer) {
            rewrite ^/ [img]http://www.XXX.com/images/default/logo.gif[/img];
            # return 403;
        }
    }

     保存,然后后重启nginx服务。

    4.6.3 补丁更新

    1、软件信息

    1. 查看软件版本 nginx -v

    2. 测试配置文件 nginx –t

    2、补丁安装

        手动安装补丁或安装最新版本软件

    ————————————————
    版权声明:本文为CSDN博主「Bypass--」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
    原文链接:https://blog.csdn.net/qq_23936389/article/details/85013923

    展开全文
  • 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。 3. 前置条件 1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署; 2、 启用IIS 方法一:按Win键+R打开Windows运行,输入...
  • 中间件加固--apache

    2021-12-14 17:56:19
    apache安全配置 一、确保apache无法访问根目录 查看apache配置文件 vim /etc/httpd/conf/httpd.conf 找到以下配置 二、删除网站的目录浏览...在apache配置文件中,indexes为目录浏览权限,直接删除即可 ...h...
  • 任务四:tomcat中间件安全与加固 任务环境说明: 服务器场景名称:w-win7 服务器场景用户名:administrator;密码:未知(开放链接) 渗透机场景:kali 渗透机用户名:root,密码:toor 通过渗透机场景kali中的...
  • 应用中间件系统加固策略
  • 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。 3. 前置条件 1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署; 2、 启用IIS 方法一:按Win键+R打开Windows运行,输入...
  • 熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,进程名称,确认站点采用Tomcat进行部署; 2、找到Tomcat路径: 方法一:开始-&...
  • TOMCAT 中间件安全加固

    2022-04-03 20:39:27
    1、 tomcat中间件安装: ①、yum install httpd* -y ②、yum install tomcat* -y 然后就能看到系统中多出了个端口: 其中8005端口是管理口,8080是默认的tomcat页面 我们可以通过访问本地8080口来判断服务是否安装...
  • 熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,确认站点采用Weblogic进行部署; 2、找到Weblogic站点位置 4. 详细...
  • 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固。 3. 前置条件 1、 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 2、 找到Nginx安装目录,针对具体站点对配置文件进行修改; ...
  • 本PPT介绍了主流操作系统WINDOWS.LINIUX.主流数据库oracel mysql,主流中间件tomcat\websphere等的加固策略和应急响应策略
  • 网页中间件安全加固

    千次阅读 2022-01-18 22:12:52
    一、APACHE WEB服务器软件,apache的程序名是httpd,服务的控制: systemctl start/stop/status httpd Apache是一个静态网站程序,不能直接支持动态页面;...安装完后,记得重启服务,可以支持动态页面。...
  • 熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加固。 3. 前置条件 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 找到Jboss安装目录,针对具体站点对配置文件进行修改; 在...
  • 熟悉Apache配置文件,能够利用Apache进行建站,并能针对站点使用Apache进行安全加固。 3. 前置条件 1、 根据站点开放端口,进程ID,确认站点采用Apache进行部署; 2、 找到Apache配置文件 4. 详细操作 4.1 禁止...
  • 熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加固。 3. 前置条件 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 找到Jboss安装目录,针对具体站点对配置文件进行修改; 在...
  • 中间件基础与加固

    2018-02-28 10:38:47
    中间件加固 Apache、struct2、SQLi、weblogic、IIS、 1.1 查看Apache状态 (Debian) service Apache status
  • Nginx中间件的安全与加固学习笔记

    千次阅读 2022-03-26 19:03:47
    2.Nginx安全检查和加固详解 1.身份鉴别 a. 以低权限启动账户身份启动服务 Unix&Linux: ps -ef|grep nginx 查看进程账户是否为专用非root账号 b. 弱口令 使用扫描器进行扫描,人工输入与用户名相同的密码 2.安全...
  • 熟悉WebSphere安装部署,熟悉WebSphere常见漏洞利用方式,并能针对站点使用WebSphere进行安全加固。 3. 前置条件 根据站点开放端口,进程ID,确认站点采用WebSphere进行部署; 找到WebSphere站点位置 4. 详细...
  • tomcat中间件安全与加固 任务环境说明: 服务器场景名称:w-win7 服务器场景用户名:administrator;密码:未知(开放链接) 渗透机场景:kali 渗透机用户名:root,密码:toor 通过渗透机场景kali中的工具对...
  • 前言:Web 服务器是 Web 应用的载体,如果这个载体出现安全问题,那么运行在其中的 Web 应用程序的安全也无法得到保障。因此 Web 服务器的安全不容忽视 纵观 Apache 的漏洞史,它曾经出现过许多次高危漏洞。...
  • apache安全配置 一.确保apache无法访问根目录 查看apache配置文件,确定对根目录是拒绝所有请求 vim /etc/httpd/conf/httpd.conf 找到该位置,第一行和第四行,指明了目录,即Linux的根目录 / 第二行,表示禁止使用....
  • 熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,确认站点采用Weblogic进行部署; 2、找到Weblogic站点位置 4. 详细...
  • 0x00 安全加固的定义 安全加固和优化是实现信息系统安全的关键环节。通过安全加固,将在信息系统的网络层、主机层、软件层、应用层等层次建立符合安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 0x01 ...
  • 那么在 Java Web 应用开发过程中,有哪些安全加固措施呢?这里笔者将分享自己在工作中的漏洞加固经历,通过本场 Chat,希望您能学到关于 Web 应用安全的一些技术和知识。 本场 Chat 主要内容: OWASP 公布的哪些...
  • 最实用的Windows安全加固手册

    千次阅读 2021-11-15 22:18:05
    安全加固是配置软件系统的过程,针对服务器操作系统、数据库及应用中间件等软件系统,堵塞漏洞 “后门”,合理进行安全性加强,提高其健壮性和安全性,增加攻击者入侵的难度,系统安全防范水平得到大幅提 0x01 Windows ...
  • 熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,进程名称,确认站点采用Tomcat进行部署; 2、找到Tomcat路径: 方法一:开始-&...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,213
精华内容 885
关键字:

中间件加固