- Apach安全
1、检查apache的module安装,遵循“最小权限原则”,不安装不必要的模块,并对安装的module检查其是否存在已知的安全漏洞
2、设定专门的用户(不具备shell)身份运行apache。不能使用高权限身份来运行
3、保护好apache log 。access log保管好并实时传送到syslog服务器上
- Nginx安全 (同上)
Nginx具有高性能和高并发的处理能力
apahce注重模块的安全,Nginx注意软件本身的安全,及时升级
- jBoss远程命令执行
jBoss默认安装时的一个管理后台JMX-Console是没有任何认证的(默认8080端口)
在JMX-Console中,远程命令执行最简单的方式是通过DeploymentScanner远程价值一个war包
安全方面考虑,JMX-Console可完全移除,只需删除jmx-console.war和web-console.war即可
- Tomcat远程命令执行
类似jBoss但它的console需要manager权限,建议删除这一后台
- HTTP Parameter Pollution 参数混淆
HPP的攻击,就是通过GET或POST向服务器发起请求是,提交两个相同的参数,如/?a=test1&a=test2,服务器如何选择呢?
有的服务端环境中,取第一个参数,而在另一些环境如.net环境中会变成a=test1,test2。
*防范HPP攻击:**HPP是服务器端软件的一种功能,所以只需在具体环境中注意服务器环境的参数取值顺序*
扫一扫
214
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
