网页中间件安全加固

最新推荐文章于 2023-12-02 21:10:01 发布
最新推荐文章于 2023-12-02 21:10:01 发布
阅读量2.9k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 中间件 安全 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jasonwgz/article/details/122569964

一、APACHE
WEB服务器软件,apache的程序名是httpd,服务的控制:
systemctl start/stop/status httpd
Apache是一个静态网站程序,不能直接支持动态页面;若要支持动态页面,则需要整合其它程序,如要支持PHP动态页面:
yum install php-fpm php-common php-devel php-mysqlnd php-mbstring php-mcrypt  
安装完后,记得重启服务,可以支持动态页面。
二、独立的动态页面的支持程序:
tomcat,jboss,resin,websphere,weblogic这些
都是支持JAVA的动态页面的程序。
三、安装启动tomcat
1、cd /root/vulhub/vulhub-master/tomcat/CVE-2017-12615
docker-compose up -d
netstat -lntp
2、图形管理界面:
tomcat/conf
tomcat-users.xml
<user username="admin" password="admin" roles="admin,admin-gui,admin-script,manager-gui,manager-script,manager-jmx,manager-status"/>
<user username="admin1" password="123123" roles="admin,admin-gui,admin-script,manager-gui,manager-script,manager-jmx,manager-status"/>

3、版本信息隐藏
cd /usr/local/tomcat/lib
找到catalina.jar文件
unzip catalina.jar
cd org/apache/catalina/util/
4、tomcat图形界面有安全问题
方法1:图形界面所用页面全部删除
tomcat/webapps
默认页面全部删除
方法2:在配置文件中更新管理界面所用页面到一个空目录
<Context path="" docBase="/home/work/local/tomcat_webapps"
 debug="0" reloadable="false" crossContext="true" />

5、关闭不必要的端口:8005
在配置文件中,找到server port=8005
vi tomcat/conf/server.xml
<Server port="8005" shutdown="SHUTDOWN">
将8005更改为一个安全端口
同样,可以更改8009端口。

6、文件列表
vi tomcat/conf/web.xml 
        
<init-param>
            <param-name>listings</param-name>
            <param-value>false</param-value>
        </init-param>
将false改为true

7、日志记录
vi tomcat/conf/logging.properties 

日志产生
tomcat/logs

其中跟踪日志记录(访问)
tail -f  localhost_access_log.2022-01-13.txt


常用的扫描工具
1、wireshark

2、tcpdump


 

jasonwgz
关注
金蝶中间件(Apusic 9.0.7)安全加固以及更改后台管理页面名称
禅与代码的艺术
03-14 2226
主要用于解决当网页运行报400错误时,暴露中间件版本信息号,以及用户开发的程序名称为admin的情况
中职网络安全tomcat中间件安全加固 flag
Jay
04-20 850
tomcat中间件安全加固 任务环境说明: 服务器场景名称:w-win7 服务器场景用户名:administrator;密码:未知(开放链接) 渗透机场景:kali 渗透机用户名:root,密码:toor 通过渗透机场景kali中的工具对web服务器进行扫描,浏览web服务网页,在首页中找到tomcat服务版本号,并将其版本号作为flag提交; Flag:7.0.79 已知此版本的tomcat具有上传漏洞,即向页面提交发送请求就会生成对应的文件。利用Burp Suite工具进行抓包,向网站首
操作系统中间件数据库安全加固.pptx
06-19
本PPT介绍了主流操作系统WINDOWS.LINIUX.主流数据库oracel mysql,主流中间件tomcat\websphere等的加固策略和应急响应策略
TOMCAT 中间件安全加固
单核CPU的小朋友的博客
04-28 2077
TOMCAT 中间件安全加固 1、 tomcat中间件安装: yum install httpd* -y yum install tomcat* -y 然后就能看到系统中多出了个端口: 其中8005端口是管理口,8080是默认的tomcat页面 我们可以通过访问本地8080口来判断服务是否安装成功 其中下文会详细介绍如何更改tomcat的管理口和页面显示端口。 其中, Tomcat配置文件...
基于 Tomcat 中间件Web 应用安全加固措施整理
GitChat
11-06 771
作为 Java 开发人员,大家对 Tomcat 都不陌生,使用 Tomcat 作为应用服务器的同时,我们还应该关注 Web 应用的安全问题。那么在 Java Web 应用开发过程中,有哪些安全加固措施呢?这里笔者将分享自己在工作中的漏洞加固经历,通过本场 Chat,希望您能学到关于 Web 应用安全的一些技术和知识。 本场 Chat 主要内容: OWASP 公布的哪些漏洞是我们容易遭遇的; To...
Web加固linux,Linux安全加固中间件Tomcat
weixin_39622562的博客
05-15 364
之前整理了关于主机系统的加固(Linux安全加固、Windows安全加固)。(其实我还是喜欢日靶机……)接下来想整理下和探索下中间件或者web容器的加固,以及主流数据库的加固。先大概说下web的一些基础东西。一般的web访问顺序如下web浏览器->web服务器(狭义)->web容器->应用服务器->数据库服务器所以哪一个环节出了问题,各种攻击姿势就来了。业务上一般的选择如下...
中间件安全加固-----apache、nginx的安全配置
m_ing
07-24 2161
前言:Web 服务器是 Web 应用的载体,如果这个载体出现安全问题,那么运行在其中的 Web 应用程序的安全也无法得到保障。因此 Web 服务器的安全不容忽视 纵观 Apache 的漏洞史,它曾经出现过许多次高危漏洞。但这些高危 漏洞,大部分是由 Apache 的 Module 造成的,Apache 核心的高危漏洞几乎没有。Apache 有很多官方与非官方的 Module,默认启动的 Module 出现过的高危漏洞非常少,大多数的高危漏洞集中在默认没有安装或 enable 的 Module 上 apac
中间件基础与加固
02-28
在本篇文章中,我们将深入探讨中间件的基础知识以及如何进行加固,确保系统的安全性和稳定性。 首先,让我们理解什么是中间件中间件是一种软件,它位于操作系统和应用程序之间,提供一种抽象层,使开发人员可以更...
【Spring Boot安全防护手册】:Web应用安全加固的最佳实践
[【Spring Boot安全防护手册】:Web应用安全加固的最佳实践](https://activedirectorypro.com/wp-content/uploads/2023/05/check-password-complexity-4-1024x513.webp) # 摘要 Spring Boot作为现代Java应用的开发...
安全加固:Chromedriver的5大防御自动化测试攻击策略
[安全加固:Chromedriver的5大防御自动化测试攻击策略](https://img-blog.csdnimg.cn/faddbb6819f64652b4003f6bbf18e53a.png) # 摘要 Chromedriver作为自动化测试工具的重要组件,在现代软件开发和测试中扮演着关键...
中间件加固方案.pdf
10-10
好多系统需要做安全评测,针对使用的中间件产品需要进行加固处理,总结的常见加固策略供参考,具体还以自己的测试要求为准
网络安全常见中间件(mysql,redis,tomcat,nginx,apache,php安全加固
最新发布
2301_77455673的博客
12-02 1800
highlight_file(), show_source() 检查被操作的文件或目录是否与正在执行的脚本有相同的 UID(所有者)。PHP的远程文件包含和远程文件操作功能在通常的应用中都不会用到,如果PHP代码在文件操作或是文件包含的时候对其变量不作严格的检查,攻击者就可以通过改变这些变量的值来包含远程机器上的恶意文件,并在WEB服务器上运行任意代码。parse_ini_file() 检查被操作的文件或目录是否与正在执行的脚本有相同的 UID(所有者)。请参考 putenv() 函数的有关文档。
web中间件加固
m0_52756591的博客
01-23 288
Linux -web中间件加固
中间件安全加固之Jboss
06-19 97
JBoss 的安全设置 1) jmx-console A、jmx-console登录的用户名和密码设置 默认情况访问 http://localhost:8080/jmx-console 就可以浏览jboss的部署管理的一些信息,不需要输入用户名和密码,使用起来有点安全隐患。下面我们针对此问题对jboss进行配置,使得访问jmx-console也必须要知道用户名和密码才可...
中间件加固
m0_51553670的博客
06-07 802
修改程序启动账号和用户组# 检查程序启动账号和用户组,账号和用户组为apache或者nobody一般情况下默认用户符合安全要求避免泄露敏感信息1.在网站根目录下新建noFile.html文件# 错误页面随便写2.查看并启用tomcat的 /conf/web.xml文件中的下列代码3.重启tomcat4.随机访问不存在的页面,报错页面显示Error Package页面显示:# 将这两行的allowed后面的值改为false。
14、中间件加固
weixin_42974824的博客
06-01 1763
中间件加固
中间件加固】Jboss安全加固规范
时乙的博客
11-06 431
1. 适用情况 适用于使用Jboss进行部署的Web网站。 适用版本:5.x版本的Jboss服务器 2. 技能要求 熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加固。 3. 前置条件 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 找到Jboss安装目录,针对具体站点对配置文件进行修改; 在执行过程中若有任何疑问或建议,应及时反馈。 4. 详细操作 4.1 日志配置 Jboss 5.x版本日志配置: 1、打开%JBOSS_HOME%
网安必备技能||操作系统&&中间件安全加固手册(附下载地址)
告白的博客
01-12 2909
0x00 安全加固的定义 安全加固和优化是实现信息系统安全的关键环节。通过安全加固,将在信息系统的网络层、主机层、软件层、应用层等层次建立符合安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 0x01 为什么需要安全加固? 应用系统运行所需的软硬件,往往存在以下安全问题: 安装、配置不符合安全需求 参数配置错误 使用、维护不符合安全需求 系统完整性被破坏 被注入木马程序 帐户/口令问题 安全漏洞没有及时修补 应用服务和应用程序滥用 应用程序开发存在安全问题等 0x02 安全加固的内容 对系
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值