分类目录:Web 服务器

以下是分类 Web 服务器 下的所有文章

IIS 6.0远程代码执行漏洞加固

    在Windows Server 2003的IIS 6.0的WebDAV服务的ScStoragePathFromUrl函数存在缓存区溢出漏洞,攻击者通过一个以“If: <http://”开始的较长header头的PROPFIND请求执行任意代码。 加固方案: 1、关闭IIS Web服务扩展的WebDAV服务。 操作步骤:在windows 2003上点击“开始”菜单,选……

Jetty 安全加固

1. 关闭 Banner # Jetty 9.3 vi %JETTY_HOME%/start.ini jetty.httpConfig.sendServerVersion=false # Jetty 9.2 vi %JETTY_HOME%/start.ini jetty.send.server.version=false # Jetty 7/8 vi %JETTY_HOME%/etc/jetty.xml <Set name="sendServerVersion">false</Set> 2. 修改默认端口 # Jett……

Tomcat SSL 漏洞加固

Tomcat SSL协议相关设置均位于下面的文件: # %TOMCAT_HOME% 为 Tomcat 的主目录 %TOMCAT_HOME%/conf/server.xml  1. 升级 Tomcat 将 Tomcat 升级到当前版本的最新小版本。 例如:版本号为 6.0.32,则建议升级到 6.0 的最新版本。 升级下载站点: http://tomcat.apache.org/  2. 关闭 Renego……

PHP 常见加固

1. 版本号隐藏  修改 php.ini 文件,关闭版本号显示。 expose_php = Off 3. 错误日志管理 修改 php.ini 文件,将对应的参数设置为记录错误日志但不输出到客户端,防止日志显示导致的信息泄露。 date.timezone = “Asia/Shanghai” error_reporting = E_ALL & ~E_NOTICE display_errors = Off log_……

IIS 7.0/7.5 常见加固

1. 删除不必要的IIS角色 从“服务管理器”中点击左侧导航栏的“角色”,然后点击右侧的“删除角色”,删除所有实际应用不需要的角色。通常下列角色可以删除: 另外,如果应用使用的是asp脚本,则可以删除“ASP.NET”相关的角色;如果使用的是aspx脚本,则可以删除“asp”角色。   2. 身份验证设置  根……

Websphere 安全加固

1、修改管理后台只允许本机访问或内网地址访问 修改/IBM/WebSphere/AppServer/profiles/AppSrv01/config/cells/<cellname>/nodes/<nodename>/serverindex.xml和 /IBM/WebSphere/AppServer/profiles/AppSrv01/config/cells/<cellname>/virtualhosts.xml文件,然后重启服务器,修改如下图所示: ……

Resin 安全加固

1、禁止非本地用户访问resin-doc 以Resin4.0.36为例,修改配置文件/resin-pro-4.0.36/conf/resin.properties,配置如下: resin_doc_host : 127.0.0.1 通常我们可以直接设置下面的参数来停用resin-doc resin_doc : false 2、以普通用户权限运行 Resin 常见普通用户: /usr/sbin/groupadd resin /usr/……

Weblogic 安全加固

1、以低权限用户运行weblogic 以weblogic 12c为例,执行如下命令: # su - root # groupadd weblogic # useradd -g weblogic weblogic -s /bin/bash # chown -R weblogic:weblogic /tmp/wls12120 然后重新启动服务 # su - weblogic # /tmp/wls12120/user_projects/domains/mydomain/startWebLogic.sh 2、限……

JBoss 常见加固

1,修改默认管理页面 默认安装的管理后台目录:jboss/server/default/deploy/jmx-console.war 删除,或者修改为无法猜测出来的目录,例如:jboss/server/default/deploy/jmx-console123aa!.war 2,后台开启用户认证 jboss/server/default/deploy/jmx-console.war/WEB-INF/jboss-web.xml jboss/se……