[web安全] Web Server配置安全
来源:互联网 发布:人工智能成功案例 编辑:程序博客网 时间:2024/06/06 00:06
这里主要介绍的都是中间件的安全,常见的中间件有:Tomcat、Apache、Nginx、jBoss
一、Apache安全
Apache有很多官方与非官方的Module,默认启动的Module出现过的高危漏洞非常少,大多数的高危漏洞集中在默认没有安装或enable的Module上。
检查Apache安全的第一件事情,就是检查Apache的Module安装情况。
最好不要以root身份或者admin身份运行Apache。
二、Nginx安全
CVE-2010-2266(DoS)
CVE-2010-2263(源代码和未解析内容泄露)
CVE-2009-4487(改变窗口标题,执行任意指令或者覆写文件)
Nginx与Apache最大的区别在于,检查Apache安全时更多的要关注Module的安全,而Nginx则需要注意软件本身的安全,及时升级软件版本。
三、jBoss远程部署
在JMX-Console中,有多种可以远程执行命令的方法。最简单的方式是通过Deployment远程加载一个war包。
1.JBoss安装后的默认端口是8080,访问http://host:8080即可看到JBoss默认的部署界面,找到JMX Console(在JBoss Management下),点击进入jboss的管理后台。
德国的Redteam安全小组研究发现,通过JMX-Console提供的BSH(Bean Shell)Deployment方法,同样也能部署war包。BSH能够执行一次性的脚本,或者创建服务。执行命令的思路是,利用createScriptDeployment()执行命令,通常是在/tmp目录下写入一个war包后,再通过JMX-Console的部署功能执行此war包。
通过“Google hacking”搜索“allinurl:/jmx-console MBean”可以在互联网上找到很多开放JMX-Console的网站,其中大多数是存在漏洞的。
要移除JMX-Console,只需要删除jmx-console.war和web-console.war即可,它们分别位于$JBOSS_HOME/server/all/deploy和$JBOSS_HOME/server/default/deploy目录下。如果出于业务需要不得不使用JMX-Console,则应该使用一个强壮的密码,并且运行JMX-Console的端口不应该面向整个Internet开放。
四、Tomcat远程部署
但是如果将tomcat用户添加为manager角色,而tomcat用户的密码很可能是一个默认密码,这种配置就存在安全隐患。虽然Tomcat后台有密码认证,但攻击者仍然有可能通过暴力破解等方式获取后台的访问权限。
一、Apache安全
Apache有很多官方与非官方的Module,默认启动的Module出现过的高危漏洞非常少,大多数的高危漏洞集中在默认没有安装或enable的Module上。
检查Apache安全的第一件事情,就是检查Apache的Module安装情况。
最好不要以root身份或者admin身份运行Apache。
二、Nginx安全
CVE-2010-2266(DoS)
CVE-2010-2263(源代码和未解析内容泄露)
CVE-2009-4487(改变窗口标题,执行任意指令或者覆写文件)
Nginx与Apache最大的区别在于,检查Apache安全时更多的要关注Module的安全,而Nginx则需要注意软件本身的安全,及时升级软件版本。
三、jBoss远程部署
(通过JMX Console的deployment的addurl函数部署WAR的JSP WebShell)
jBoss是J2EE环境中一个流行的Web容器
由于jBoss在默认安装时会有一个管理后台,叫做JMX-Console。通过8080端口(默认安装时会监听8080端口)访问/jmx-console能够进入到这个管理界面。默认安装时访问JMX-Console是没有任何认证的。在JMX-Console中,有多种可以远程执行命令的方法。最简单的方式是通过Deployment远程加载一个war包。
1.JBoss安装后的默认端口是8080,访问http://host:8080即可看到JBoss默认的部署界面,找到JMX Console(在JBoss Management下),点击进入jboss的管理后台。
2.在jboss管理后台中,会看到jboss.deployment包,该包下有一个“flavor=URL,type=DeploymentScanner”选项,用于远程部署连接。
3.点击进入部署页面后,jboss需要一个URL用来指示WAR文件的下载地址,准备好URL后,在部署界面找到“ADD URL”方法,输入URL,然后点击Invoke。
4.出现“Operation completed successfully without a return value.”表示部署成功。
5.当DeploymentScanner下次执行时,应用将部署成功,这个过程一般用一分钟左右。在一分钟后,攻击者的webshell被部署成功。
德国的Redteam安全小组研究发现,通过JMX-Console提供的BSH(Bean Shell)Deployment方法,同样也能部署war包。BSH能够执行一次性的脚本,或者创建服务。执行命令的思路是,利用createScriptDeployment()执行命令,通常是在/tmp目录下写入一个war包后,再通过JMX-Console的部署功能执行此war包。
通过“Google hacking”搜索“allinurl:/jmx-console MBean”可以在互联网上找到很多开放JMX-Console的网站,其中大多数是存在漏洞的。
要移除JMX-Console,只需要删除jmx-console.war和web-console.war即可,它们分别位于$JBOSS_HOME/server/all/deploy和$JBOSS_HOME/server/default/deploy目录下。如果出于业务需要不得不使用JMX-Console,则应该使用一个强壮的密码,并且运行JMX-Console的端口不应该面向整个Internet开放。
四、Tomcat远程部署
Tomcat是流行的Java Web应用服务器。
1.安装Tomcat后,默认端口即为8080,访问“http://host:8080/”,即可看到Tomcat默认的部署界面。在左侧可以看到一个“Tomcat Manager”链接,登录后可对Web应用程序动态部署,管理员仅需要上传一个WAR格式的文件就可以发布到网站。黑客可以利用这个方法部署JSP木马
2.可以使用JDK自带的JAR命令制作,WAR格式的shell程序,JAR.exe存放在JDK安装目录下的bin目录中。命令类似如下:
jar -cvf shell.war shell.jsp
3.登录管理界面“http://host:8080/manager/html”,可以看到“WAR file to deploy”,也就是WAR文件部署,上传WAR文件后,Tomcat会自动部署。
但是如果将tomcat用户添加为manager角色,而tomcat用户的密码很可能是一个默认密码,这种配置就存在安全隐患。虽然Tomcat后台有密码认证,但攻击者仍然有可能通过暴力破解等方式获取后台的访问权限。
0 0
- [web安全] Web Server配置安全
- web服务器安全配置
- 配置WEB安全
- Web Service配置安全
- Windows 2003 安全配置(WEB)
- WEB 服务器配置安全规范
- Apache Web服务器安全配置
- Apache Web服务器安全配置
- web安全
- web安全
- web安全
- WEB安全
- Web安全
- web安全
- web安全
- Web安全
- WEB安全
- WEB安全
- 万物皆服务
- 通过iframe引入另外一个项目中的html片段到项目中,解决样式,高度,兼容等问题的策略
- Java动态代理
- c#委托基础;c#委托Vs C++函数指针
- POJ2352
- [web安全] Web Server配置安全
- OC-JS交互(WebViewJavascriptBridge使用说明)
- 【Android UI设计与开发】第13期:顶部标题栏(四)自定义ActionBar风格和样式
- Button的ontouch,onclick,onLongclick的执行顺序
- 《Java程序设计》第16周周四:GUI编程及文件对话框的使用
- 前端疑难问题定位
- github.com的clone和发布的准备工作。
- GemFI安装清单
- linux下tomcat开机启动简单配置
