安全检测网站:https://myssl.com/ccs.html
一、Tomcat配置:
1、服务运行权限:创建一普通用户;
赋予该用户对tomcat相关文件夹的读写权限;
在‘服务’列表中,设置该普通用户登录启动tomcat。
2、服务端口:
修改tomcat默认8080端口
关闭8009端口
3、禁用列表:
Tomcat中禁用列目录
4、用户管理:
删除webapps目录下的manager、host-manager文件夹;
若业务系统需要试用tomcat管理后台,则需修改tomcat的admin用户密码,且密码长度不低于10位,包含大小写字母和数字组合。
5、错误页面
修改页面错误返回的错误信息页面
二、数据库配置(SQLServer):
1、审核级别:数据库属性-安全性,登录审核勾选成功和失败的登录。针对登录成功和失败的用户都要进行审核。
2、服务运行权限:
【1】创建一普通用户,加入用户组(SQLServerMSSQLUser和SQLServerSQLAgentUser)
【2】授予用户相应目录权限
【3】在‘服务’列表中,设置用该普通用户登录启动数据库服务
3、用户口令:对所有账号设置强口令,密码长度不低于10位,包含大小写字母和数字组合。特别是SA账号。
4、存储过程:
禁用xp_cmdshell存储过程
5、数据库实例:隐藏SQLserver实例
6、服务端口:修改默认的1433端口
7、连接限制:针对数据库服务器的IP连接进行限制,确保自己的IP能够访问,拒绝其他IP进行的端口连接。
三、WEB程序:
1、页面链接:不登录系统,直接输入登录后的页面的url是否可以访问
2、下载链接:不登录系统,直接输入下载文件的url是否可以下载
3、Session:【1】退出登录后按后退按钮能否访问之前的页面【2】是否对session的有效期进行处理
4、错误信息:错误信息中是否含有sql语句、sql错误信息以及web服务器的绝对路径等
5、网页源码:查看网页源代码时能否看到重要信息
6、输入框:重要信息(如密码,身份证号码,信用卡号等)输入时是否用明文显示
7、口令验证:弱口令使用,密码验证方式中能否使用简单密码。如密码标准为6位以上,字母和数字混合,连续的字母或数字不能超过n位
8、权限控制:手动更改URL中的参数值能否访问没有权限访问的页面
9、Cookie:登录系统后,在浏览器地址栏里输入命令javascript:alert(doucument.cookie)时是否有重要信息
10、上传文件:【1】上传文件是否有大小限制:上传太大的文件是否导致异常错误;上传0K的文件是否会导致异常错误;上传并不存在的文件是否会导致异常错误【2】上传是否对上传文件进行格式控制,需要确保可执行文件都被过滤【3】关于上传是否成功的判断,上传过程中中断,程序是否有判断上传是否成功【4】上传带有特殊符号文件名的文件【5】上传与服务器端语言(jsp、asp、php)一样扩展名的文件或exe。等可执行文件后,确认在服务器端是否可直接运行
四、SQL注入漏洞:是否存在SQL注入,传送给服务器的参数(如查询关键字、url中的参数等)中包含特殊字符(','and 1=1 --,' and 1=0 --,'or 1=0 --)时是否可以正常处理
跨站攻击漏洞:是否存在XSS攻击,执行新增操作时,在所有的输入框中输入脚本标签(<script>alert("xss")</script>)后能否保存,保存成功后页面刷新是否有弹窗;输入框中输入(<script>alert(document.cookie);</script>),能获取到当前登录用户的cookie
例如:
输入<html”>”gfhd</html>,看是否出错
输入<input type=”text” name=”user” />,看是否出现文本框
输入<script type=”text/javascript”>alert(“提示”)</script>看是否出现提示
201
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
