- apach安全
1、檢查apache的module安裝,遵循「最小許可權原則」,不安裝不必要的模組,並對安裝的module檢查其是否存在已知的安全漏洞
2、設定專門的使用者(不具備shell)身份執行apache。不能使用高許可權身份來執行
3、保護好apache log 。access log保管好並實時傳送到syslog伺服器上
- nginx安全(同上)
nginx具有高效能和高併發的處理能力
apahce注重模組的安全,nginx注意軟體本身的安全,及時公升級
- jboss遠端命令執行
jboss預設安裝時的乙個管理後台jmx-console是沒有任何認證的(預設8080埠)
在jmx-console中,遠端命令執行最簡單的方式是通過deploymentscanner遠端價值乙個war包
安全方面考慮,jmx-console可完全移除,只需刪除jmx-console.war和web-console.war即可
- tomcat遠端命令執行
類似jboss但它的console需要manager許可權,建議刪除這一後台
- http parameter pollution引數混淆
hpp的攻擊,就是通過get或post向伺服器發起請求是,提交兩個相同的引數,如/?a=test1&a=test2,伺服器如何選擇呢?
有的服務端環境中,取第乙個引數,而在另一些環境如.net環境中會變成a=test1,test2。
*防範hpp攻擊:**hpp是伺服器端軟體的一種功能,所以只需在具體環境中注意伺服器環境的引數取值順序*
《白帽子講Web安全》 學習筆記
最近加入新公司後,公司的官網突然被google標記為了不安全的詐騙 一時間我們資訊科技部門成為了眾矢之的,雖然老官網並不是我們開發的 因為開發老官網的前輩們全都跑路了 我們花了很多時間做web安全掃瞄以及修復,在檢查和修復過程中,發現老系統的 的不可維護性 再次說明整潔 之道clean code的重...
讀書筆記《白帽子講web安全》
2016年3月24日 09 34 32 星期四 ddos攻擊 一種 隨機生成ip,去建立鏈結,由於http tcp握手協議原理,傳送應答報文時因為ip無效會導致等待重發,這種行為可以通過電腦硬體裝置攔截 清洗 二種 通過掛馬等手段控制別人電腦,使用有效ip去瘋狂訪問某乙個介面導致服務掛掉,這種行為要...
《白帽子講web安全》讀書筆記
第1章 安全世界觀 攻擊分兩種 exploit script 早期多攻擊系統和軟體,能快速獲得root許可權。smtp,ftp使用者多 web使用者少,且攻擊它只能獲得較低許可權 防火牆,acl 訪問控制列表 的興起,給暴露的系統施加了屏障 使得暴露在外的非web程式越來越少 web的興起 web攻...