1. 适用情况

适用于使用Weblogic进行部署的Web网站。

2. 技能要求

熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固。

3. 前置条件

1、根据站点开放端口,进程ID,确认站点采用Weblogic进行部署;
2、找到Weblogic站点位置

4. 详细操作

4.1 控制台用户设置

1、用户弱口令修改

2、用户账号锁定设置

3、设置密码策略

安全领域>myrealm>提供程序>口令验证> SystemPasswordValidator>提供程序特定>配置策略

4.2 日志配置

默认情况下, HTTP 日志记录处于启用状态,日志默认在base_domain\servers\AdminServer\logs目录,其中access.log是安装在该server之上的应用的的http访问日志。

1、在Weblogic管理后台,找到环境—服务器,然后锁定并编辑,点击服务名称进入设置页面:

2、选择日志记录--HTTP

4.3 最佳经验实践

4.3.1 更改默认运行端口

依次点击环境>服务器>Adminservers(管理)>一般信息,更改监听端口7001为其他端口:

4.3.2 禁用Send Server Header

依次点击环境>服务器>Adminservers(管理)>协议>http 

检查是否勾选Send Server header 

4.3.3 禁用X-Powered-By Header

依次点击base_domain>web应用程序,

在X-Powered-By 标头修改为“将不发送X-Powered-By Header”

4.3.4 限制应用服务器Socket数量

依次点击环境>服务器>Adminservers(管理)>配置>优化

4.4 风险操作项

Weblogic历史漏洞展示:

4.4.1 CVE-2018-2628临时解决方案

CVE-2018-2628解决方案:

Oracle WebLogic反序列化漏洞CVE-2018-2628 官方补丁 ,Oracle官方已经在关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。 http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

临时解决方案:

可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。WebLogic Server提供了名为weblogic.security.net.ConnectionFilterImpl的默认连接筛选器,此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对t3及t3s协议进行访问控制,详细操作步骤如下:

1、进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

2、在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:* * 7001 deny t3 t3s

3、保存后规则即可生效,无需重新启动。

4.4.2 补丁更新

根据Weblogic版本到weblogic官网下载补丁包,各版本选择下载地址:http://www.oracle.com/technetwork/middleware/weblogic/downloads/wls-main-097127.html

4.4.3 Weblogic降权

以weblogic
12c为例,执行如下命令:

# su - root
# groupadd weblogic
# useradd -g weblogic weblogic -s /bin/bash
# chown -R weblogic:weblogic /tmp/wls12120
然后重新启动服务
# su - weblogic
#/tmp/wls12120/user_projects/domains/mydomain/startWebLogic.sh

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

【中间件安全】Weblogic 安全加固规范的更多相关文章

  1. 下一代的中间件必须是支持docker规范的

    下一代的中间件必须是支持docker规范的,这是中间件技术走向标准规范化的必经之路. 什么是 Docker? 答案是:Docker 是下一代的云计算模式.Docker 是下一代云计算的主流趋势. Do ...

  2. 【中间件安全】WebSphere安全加固规范

    1. 适用情况 适用于使用WebSphere进行部署的Web网站. 2. 技能要求 熟悉WebSphere安装部署,熟悉WebSphere常见漏洞利用方式,并能针对站点使用WebSphere进行安全加 ...

  3. 【中间件安全】Jboss安全加固规范

    1. 适用情况 适用于使用Jboss进行部署的Web网站. 适用版本:5.x版本的Jboss服务器 2. 技能要求 熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加 ...

  4. 【中间件安全】IIS6安全加固规范

    1. 适用情况 适用于使用IIS6进行部署的Web网站. 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固. 3. 前置条件 1. 根据站点开放端口.进程 ...

  5. 【中间件安全】Nginx 安全加固规范

    1. 适用情况 适用于使用Nginx进行部署的Web网站. 2. 技能要求 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固. 3. 前置条件 1. 根据站点开放端口 ...

  6. 【中间件安全】Tomcat 安全加固规范

    1. 适用情况 适用于使用Tomcat进行部署的Web网站. 2. 技能要求 熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固. 3. 前置条件 1.根 ...

  7. 【中间件安全】IIS7.0 安全加固规范

    1. 适用情况 适用于使用IIS7进行部署的Web网站. 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固. 3. 前置条件 1. 根据站点开放端口.进程 ...

  8. 【中间件安全】Apache 安全加固规范

    1. 适用情况 适用于使用Apahce进行部署的Web网站. 2. 技能要求 熟悉Apache配置文件,能够利用Apache进行建站,并能针对站点使用Apache进行安全加固. 3. 前置条件 1. ...

  9. Linux 工作站安全加固规范

    目标受众 这是一套 Linux 基金会为其系统管理员提供的推荐规范. 这个文档用于帮助那些使用 Linux 工作站来访问和管理项目的 IT 设施的系统管理员团队. 如果你的系统管理员是远程员工,你也许 ...

随机推荐

  1. yum安装与源码编译安装实际使用区别

    总结一些我实际生产使用的区别: 1.yum安装不是说不行,都行,各有千秋. 2.yum安装目录不集中,但基本遵循Linux文件夹的作用去划分文件,比如配置文件通常在/etc下. 3.yum安装说的模块 ...

  2. ASP.NET Web API实现缓存的2种方式

    在ASP.NET Web API中实现缓存大致有2种思路.一种是通过ETag, 一种是通过类似ASP.NET MVC中的OutputCache. 通过ETag实现缓存 首先安装cachecow.ser ...

  3. NModbus类库使用

    通过串口进行通信 : 1.将 NMobus 类库导入工程中,添加引用.命名空间.工程属性必须配置 为 .NET 4.0. 2.创建 SerialPort 类的一个实例,配置参数,打开串口,如: pub ...

  4. V-rep学习笔记:转动关节2

    Torque or force mode: in this mode, the joint is simulated by the dynamics module, if and only if it ...

  5. xcode 编译或者打包的时候 找不到图片的错误

    进入app路径,copy一份图片进去就好了

  6. System Monitor for Mac(系统监控工具)破解版安装

    1.软件简介    System Monitor 是 macOS 系统上的一款非常实用的 Mac 系统工具,System Monitor for mac 是一款六合一应用,您可以同时获得 CPU.RA ...

  7. OpenCV 学习笔记 04 深度估计与分割

    本章节主要是使用深度摄像头的数据来识别前景区和背景区,这样就可以分别对前景和背景做不同的处理. 1 创建模块

  8. css min-width和max-width

    min-width: 浏览器缩小设置min-width,元素最小也是min-width设置的值.设置min-width元素不会压扁. max-width:元素最大宽度

  9. 2.Swift快速浏览

    传统认为,在一个新的语言的第一个程序要在屏幕上显示“Hello world!”.在Swift,可以用一行代码来完成: println("Hello, world!") 如果你已经在 ...

  10. 如何用javac 和java 编译运行整个Java工程

    转自:http://blog.csdn.net/huagong_adu/article/details/6929817      前言:本文教你怎么用javac和Java命令,以及如何利用脚本(she ...