【中间件安全】Weblogic 安全加固规范
1. 适用情况
适用于使用Weblogic进行部署的Web网站。
2. 技能要求
熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固。
3. 前置条件
1、根据站点开放端口,进程ID,确认站点采用Weblogic进行部署;
2、找到Weblogic站点位置
4. 详细操作
4.1 控制台用户设置
1、用户弱口令修改
2、用户账号锁定设置
3、设置密码策略
安全领域>myrealm>提供程序>口令验证> SystemPasswordValidator>提供程序特定>配置策略
4.2 日志配置
默认情况下, HTTP 日志记录处于启用状态,日志默认在base_domain\servers\AdminServer\logs目录,其中access.log是安装在该server之上的应用的的http访问日志。
1、在Weblogic管理后台,找到环境—服务器,然后锁定并编辑,点击服务名称进入设置页面:
2、选择日志记录--HTTP
4.3 最佳经验实践
4.3.1 更改默认运行端口
依次点击环境>服务器>Adminservers(管理)>一般信息,更改监听端口7001为其他端口:
4.3.2 禁用Send Server Header
依次点击环境>服务器>Adminservers(管理)>协议>http
检查是否勾选Send Server header
4.3.3 禁用X-Powered-By Header
依次点击base_domain>web应用程序,
在X-Powered-By 标头修改为“将不发送X-Powered-By Header”
4.3.4 限制应用服务器Socket数量
依次点击环境>服务器>Adminservers(管理)>配置>优化
4.4 风险操作项
Weblogic历史漏洞展示:
4.4.1 CVE-2018-2628临时解决方案
CVE-2018-2628解决方案:
Oracle WebLogic反序列化漏洞CVE-2018-2628 官方补丁 ,Oracle官方已经在关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。 http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
临时解决方案:
可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。WebLogic Server提供了名为weblogic.security.net.ConnectionFilterImpl的默认连接筛选器,此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对t3及t3s协议进行访问控制,详细操作步骤如下:
1、进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
2、在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:* * 7001 deny t3 t3s
3、保存后规则即可生效,无需重新启动。
4.4.2 补丁更新
根据Weblogic版本到weblogic官网下载补丁包,各版本选择下载地址:http://www.oracle.com/technetwork/middleware/weblogic/downloads/wls-main-097127.html
4.4.3 Weblogic降权
以weblogic
12c为例,执行如下命令:
# su - root
# groupadd weblogic
# useradd -g weblogic weblogic -s /bin/bash
# chown -R weblogic:weblogic /tmp/wls12120
然后重新启动服务
# su - weblogic
#/tmp/wls12120/user_projects/domains/mydomain/startWebLogic.sh
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。
【中间件安全】Weblogic 安全加固规范的更多相关文章
- 下一代的中间件必须是支持docker规范的
下一代的中间件必须是支持docker规范的,这是中间件技术走向标准规范化的必经之路. 什么是 Docker? 答案是:Docker 是下一代的云计算模式.Docker 是下一代云计算的主流趋势. Do ...
- 【中间件安全】WebSphere安全加固规范
1. 适用情况 适用于使用WebSphere进行部署的Web网站. 2. 技能要求 熟悉WebSphere安装部署,熟悉WebSphere常见漏洞利用方式,并能针对站点使用WebSphere进行安全加 ...
- 【中间件安全】Jboss安全加固规范
1. 适用情况 适用于使用Jboss进行部署的Web网站. 适用版本:5.x版本的Jboss服务器 2. 技能要求 熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加 ...
- 【中间件安全】IIS6安全加固规范
1. 适用情况 适用于使用IIS6进行部署的Web网站. 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固. 3. 前置条件 1. 根据站点开放端口.进程 ...
- 【中间件安全】Nginx 安全加固规范
1. 适用情况 适用于使用Nginx进行部署的Web网站. 2. 技能要求 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固. 3. 前置条件 1. 根据站点开放端口 ...
- 【中间件安全】Tomcat 安全加固规范
1. 适用情况 适用于使用Tomcat进行部署的Web网站. 2. 技能要求 熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固. 3. 前置条件 1.根 ...
- 【中间件安全】IIS7.0 安全加固规范
1. 适用情况 适用于使用IIS7进行部署的Web网站. 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固. 3. 前置条件 1. 根据站点开放端口.进程 ...
- 【中间件安全】Apache 安全加固规范
1. 适用情况 适用于使用Apahce进行部署的Web网站. 2. 技能要求 熟悉Apache配置文件,能够利用Apache进行建站,并能针对站点使用Apache进行安全加固. 3. 前置条件 1. ...
- Linux 工作站安全加固规范
目标受众 这是一套 Linux 基金会为其系统管理员提供的推荐规范. 这个文档用于帮助那些使用 Linux 工作站来访问和管理项目的 IT 设施的系统管理员团队. 如果你的系统管理员是远程员工,你也许 ...
随机推荐
- yum安装与源码编译安装实际使用区别
总结一些我实际生产使用的区别: 1.yum安装不是说不行,都行,各有千秋. 2.yum安装目录不集中,但基本遵循Linux文件夹的作用去划分文件,比如配置文件通常在/etc下. 3.yum安装说的模块 ...
- ASP.NET Web API实现缓存的2种方式
在ASP.NET Web API中实现缓存大致有2种思路.一种是通过ETag, 一种是通过类似ASP.NET MVC中的OutputCache. 通过ETag实现缓存 首先安装cachecow.ser ...
- NModbus类库使用
通过串口进行通信 : 1.将 NMobus 类库导入工程中,添加引用.命名空间.工程属性必须配置 为 .NET 4.0. 2.创建 SerialPort 类的一个实例,配置参数,打开串口,如: pub ...
- V-rep学习笔记:转动关节2
Torque or force mode: in this mode, the joint is simulated by the dynamics module, if and only if it ...
- xcode 编译或者打包的时候 找不到图片的错误
进入app路径,copy一份图片进去就好了
- System Monitor for Mac(系统监控工具)破解版安装
1.软件简介 System Monitor 是 macOS 系统上的一款非常实用的 Mac 系统工具,System Monitor for mac 是一款六合一应用,您可以同时获得 CPU.RA ...
- OpenCV 学习笔记 04 深度估计与分割
本章节主要是使用深度摄像头的数据来识别前景区和背景区,这样就可以分别对前景和背景做不同的处理. 1 创建模块
- css min-width和max-width
min-width: 浏览器缩小设置min-width,元素最小也是min-width设置的值.设置min-width元素不会压扁. max-width:元素最大宽度
- 2.Swift快速浏览
传统认为,在一个新的语言的第一个程序要在屏幕上显示“Hello world!”.在Swift,可以用一行代码来完成: println("Hello, world!") 如果你已经在 ...
- 如何用javac 和java 编译运行整个Java工程
转自:http://blog.csdn.net/huagong_adu/article/details/6929817 前言:本文教你怎么用javac和Java命令,以及如何利用脚本(she ...