【中间件安全】Weblogic 安全加固规范
1. 适用情况
适用于使用Weblogic进行部署的Web网站。
2. 技能要求
熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固。
3. 前置条件
1、根据站点开放端口,进程ID,确认站点采用Weblogic进行部署;
2、找到Weblogic站点位置
4. 详细操作
4.1 控制台用户设置
1、用户弱口令修改


2、用户账号锁定设置

3、设置密码策略
安全领域>myrealm>提供程序>口令验证> SystemPasswordValidator>提供程序特定>配置策略

4.2 日志配置
默认情况下, HTTP 日志记录处于启用状态,日志默认在base_domain\servers\AdminServer\logs目录,其中access.log是安装在该server之上的应用的的http访问日志。
1、在Weblogic管理后台,找到环境—服务器,然后锁定并编辑,点击服务名称进入设置页面:

2、选择日志记录--HTTP

4.3 最佳经验实践
4.3.1 更改默认运行端口
依次点击环境>服务器>Adminservers(管理)>一般信息,更改监听端口7001为其他端口:

4.3.2 禁用Send Server Header
依次点击环境>服务器>Adminservers(管理)>协议>http
检查是否勾选Send Server header

4.3.3 禁用X-Powered-By Header
依次点击base_domain>web应用程序,
在X-Powered-By 标头修改为“将不发送X-Powered-By Header”

4.3.4 限制应用服务器Socket数量
依次点击环境>服务器>Adminservers(管理)>配置>优化

4.4 风险操作项
Weblogic历史漏洞展示:

4.4.1 CVE-2018-2628临时解决方案
CVE-2018-2628解决方案:
Oracle WebLogic反序列化漏洞CVE-2018-2628 官方补丁 ,Oracle官方已经在关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。 http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
临时解决方案:
可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。WebLogic Server提供了名为weblogic.security.net.ConnectionFilterImpl的默认连接筛选器,此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对t3及t3s协议进行访问控制,详细操作步骤如下:
1、进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

2、在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:* * 7001 deny t3 t3s

3、保存后规则即可生效,无需重新启动。

4.4.2 补丁更新
根据Weblogic版本到weblogic官网下载补丁包,各版本选择下载地址:http://www.oracle.com/technetwork/middleware/weblogic/downloads/wls-main-097127.html
4.4.3 Weblogic降权
以weblogic
12c为例,执行如下命令:
# su - root
# groupadd weblogic
# useradd -g weblogic weblogic -s /bin/bash
# chown -R weblogic:weblogic /tmp/wls12120
然后重新启动服务
# su - weblogic
#/tmp/wls12120/user_projects/domains/mydomain/startWebLogic.sh
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。

【中间件安全】Weblogic 安全加固规范的更多相关文章
- 下一代的中间件必须是支持docker规范的
下一代的中间件必须是支持docker规范的,这是中间件技术走向标准规范化的必经之路. 什么是 Docker? 答案是:Docker 是下一代的云计算模式.Docker 是下一代云计算的主流趋势. Do ...
- 【中间件安全】WebSphere安全加固规范
1. 适用情况 适用于使用WebSphere进行部署的Web网站. 2. 技能要求 熟悉WebSphere安装部署,熟悉WebSphere常见漏洞利用方式,并能针对站点使用WebSphere进行安全加 ...
- 【中间件安全】Jboss安全加固规范
1. 适用情况 适用于使用Jboss进行部署的Web网站. 适用版本:5.x版本的Jboss服务器 2. 技能要求 熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加 ...
- 【中间件安全】IIS6安全加固规范
1. 适用情况 适用于使用IIS6进行部署的Web网站. 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固. 3. 前置条件 1. 根据站点开放端口.进程 ...
- 【中间件安全】Nginx 安全加固规范
1. 适用情况 适用于使用Nginx进行部署的Web网站. 2. 技能要求 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固. 3. 前置条件 1. 根据站点开放端口 ...
- 【中间件安全】Tomcat 安全加固规范
1. 适用情况 适用于使用Tomcat进行部署的Web网站. 2. 技能要求 熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固. 3. 前置条件 1.根 ...
- 【中间件安全】IIS7.0 安全加固规范
1. 适用情况 适用于使用IIS7进行部署的Web网站. 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固. 3. 前置条件 1. 根据站点开放端口.进程 ...
- 【中间件安全】Apache 安全加固规范
1. 适用情况 适用于使用Apahce进行部署的Web网站. 2. 技能要求 熟悉Apache配置文件,能够利用Apache进行建站,并能针对站点使用Apache进行安全加固. 3. 前置条件 1. ...
- Linux 工作站安全加固规范
目标受众 这是一套 Linux 基金会为其系统管理员提供的推荐规范. 这个文档用于帮助那些使用 Linux 工作站来访问和管理项目的 IT 设施的系统管理员团队. 如果你的系统管理员是远程员工,你也许 ...
随机推荐
- WinPython
WinPython http://winpython.github.io/
- 在远程桌面服务中配置RD网关直接访问内网
原文地址:http://wangchunhai.blog.51cto.com/225186/1139388/ 远程桌面网关(RD 网关)是一项角色服务,使授权远程用户可以从任何连接到 Internet ...
- Oracle11g登录名和密码不区分大小写
问题描述: oracle11g对账户密码实行大小写识别,烦的一比!想移除此限制 问题解决: oracle 11g以前的版本的用户名和密码是不区分大小写!oracle 11g 用户名和密码默认区分大小写 ...
- 研究傅里叶变换的一本好书<<快速傅里叶变换及其C程序>>
快速傅里叶变换及其C程序 <快速傅里叶变换及其C程序>是中国科学技术大学出版社出版的.本书系统地介绍了傅里叶变换的理论和技术,内容包括傅里叶变换(FT)的定义.存在条件及其性质,离散傅里叶 ...
- 【LeetCode】240. Search a 2D Matrix II
Search a 2D Matrix II Write an efficient algorithm that searches for a value in an m x n matrix. Thi ...
- rdlc报表在vs2008下编辑正常,在vs2012上编辑就报错
最近我们的系统的开发工具由vs2008升级到了2012,由于系统中很多报表都是用rdlc来开发的,今天 遇到有报表需要改动的需求,就直接使用vs2012对rdlc报表进行了编辑,结果改完后,怎么预览报 ...
- Effective Java 第三版——58. for-each循环优于传统for循环
Tips 书中的源代码地址:https://github.com/jbloch/effective-java-3e-source-code 注意,书中的有些代码里方法是基于Java 9 API中的,所 ...
- 让ASP.NET Web API支持$format参数的方法
在不使用OData的情况下,也可以让ASP.NET Web API支持$format参数,只要在WebApiConfig里添加如下三行红色粗体代码即可: using System; using Sys ...
- [svc]find+xargs/exec重命名文件后缀&文件操作工具小结
30天内的文件打包 find ./test_log -type f -mtime -30|xargs tar -cvf test_log.tar.gz awk运算-解决企业统计pv/ip问题 find ...
- 6-9-哈夫曼树(HuffmanTree)-树和二叉树-第6章-《数据结构》课本源码-严蔚敏吴伟民版
课本源码部分 第6章 树和二叉树 - 哈夫曼树(HuffmanTree) ——<数据结构>-严蔚敏.吴伟民版 源码使用说明 链接☛☛☛ <数据结构-C语言版> ...