nginx+tomcat服务器配置(秒杀安全扫描)

2018年04月17日 10:34:13 阅读数:121
个人分类: nginx tomcat JAVA springMvc
nginx配置修改

1.解决配置limit_conn_zone来限制并发连接数
      在http处添加
      limit_conn_zone $binary_remote_addr zone=perip:10m;
      limit_conn_zone $server_name zone=perserver:10m;
2.解决 Slow HTTP POST vulnerability(150079 Slow HTTP headers vulnerability
150085 Slow HTTP POST vulnerability)
 (1)在server处添加
if ($request_method = PUT ) {
                 return 403;
          }
 if ($request_method = DELETE ) {
             return 403;
          }
client_body_timeout 10s;
client_header_timeout 10s;
large_client_header_buffers 4 8k;
client_header_buffer_size 1k;
limit_conn perip 5;
limit_conn perserver 20;
(2)在具体的context(location)添加
proxy_connect_timeout 6s;
proxy_send_timeout 6s;
proxy_read_timeout 6s;
proxy_buffer_size 4k;
proxy_buffers 32 4k;
proxy_busy_buffers_size 64k;
client_max_body_size    10m;
client_body_buffer_size 128k;
3.解决HttpOnly问题(150123 Cookie Does Not Contain The "HTTPOnly" Attribute (1))
在具体的location里添加
add_header Set-Cookie "HttpOnly=true;Secure=true";
1.修改tomcat\conf\context.xml
在<Context>
里添加
 <Context  useHttpOnly="true" >
2.在tomcat\conf\web.xml
在<session-config>
     <session-timeout>30</session-timeout>
</session-config>
里添加
<session-config>
     <session-timeout>30</session-timeout>
    <cookie-config>
             <http-only>true</http-only>
    </cookie-config>
</session-config>

4.解决Clickjacking - x框选项头没有设置(150081 Clickjacking - X-Frame-Options header is not set)
在具体的location里添加
add_header X-Frame-Options SAMEORIGIN;
5.解决会话Cookie不包含“安全”属性(150122 Cookie Does Not Contain The "secure" Attribute)
在tomcat\webapps\程序包\WEB-INF\web.xml添加(com.*.*.XssFilter.XssFilter为根据实际项目编写)
<filter>   
        <filter-name>XssFilter</filter-name>   
        <filter-class>com.*.*.XssFilter.XssFilter</filter-class>               
    </filter>   
    <filter-mapping>   
        <filter-name>XssFilter</filter-name>   
        <url-pattern>/*</url-pattern>   
    </filter-mapping>
6.解决页面提示400导致配置信息外泄的危险(150022 Verbose Error Message)
在tomcat\webapps\程序包\WEB-INF\web.xml添加
<!-- 配置错误页面 -->
 <error-page>
  <error-code>400</error-code>
  <location>/error/404.jsp</location>
 </error-page>
 
 <error-page>
  <error-code>404</error-code>
  <location>/error/404.jsp</location>
 </error-page>
 <error-page>
  <error-code>500</error-code>
  <location>/error/500.jsp</location>
 </error-page>
 <welcome-file-list>
  <welcome-file>index.html</welcome-file>
 </welcome-file-list>
在程序包的tomcat\webapps\context\添加error包

附xss代码:

 
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.lang.StringUtils;
public class XssFilter implements Filter {
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;   
        String sessionid = req.getSession().getId();
//https协议
        resp.setHeader("Set-Cookie", "JSESSIONID=" + sessionid + "; path=/; HttpOnly; secure");
//http协议   
//resp.setHeader("Set-Cookie", "JSESSIONID=" + sessionid + "; path=/; HttpOnly");    
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
        filterChain.doFilter(xssRequest, response);
    }
    @Override
    public void destroy() {}
    @Override
    public void init(FilterConfig arg0) throws ServletException {}
}
 
import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
 public XssHttpServletRequestWrapper(HttpServletRequest request) {
   super(request);
 }
 @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }
        return encodedValues;
    }
    @Override
    public String getParameter(String parameter) {
//     if("jsessionid".equals(parameter)){
//      System.out.println(111);
//     }
        String value = super.getParameter(xssEncode(parameter));
        value=stripXSS(value);
        if (value != null) {
   value = xssEncode(value);
  }
  return value;
    }
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(xssEncode(name));
        value=stripXSS(value);
        if (value != null) {
   value = xssEncode(value);
  }
  return value;
    }
    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);
            // Avoid null characters
            value = value.replaceAll("", "");
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src='...' type of expression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid expression(...) expressions
            scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
    /**
 * 将容易引起xss漏洞的半角字符直接替换成全角字符
 *
 * @param s
 * @return
 */
 private static String xssEncode(String s) {
  if (s == null || "".equals(s)) {
   return s;
  }
  StringBuilder sb = new StringBuilder(s.length() + 16);
  for (int i = 0; i < s.length(); i++) {
   char c = s.charAt(i);
   switch (c) {
   case '>':
    sb.append('>');//全角大于号
    break;
   case '<':
    sb.append('<');//全角小于号
    break;
   case '\'':
    sb.append('‘');//全角单引号
    break;
   case '\"':
    sb.append('“');//全角双引号
    break;
   case '&':
    sb.append('&');//全角
    break;
   case '\\':
    sb.append('\');//全角斜线
    break;
   case '#':
    sb.append('#');//全角井号
    break;
   default:
    sb.append(c);
    break;
   }
  }
  return sb.toString();
 }
}
阅读更多

一次qps测试实践(续)

想着探讨nginx负载均衡的作用 服务器A  4核  B 8核 nginx 部署在A,tomcat1 tomcat2部署在B(因为没第三台机器了,只能先这样看看效果) nginx w...
想对作者说点什么?

秒杀活动的解决思路

05-15 467

秒杀活动 秒杀活动,是很考验qps的一种情况,当高并发的时候,响应时间会相应的增加很多,这时候每台机子的qps就会大大减少。会造成某台服务器的崩溃,因为该机器崩溃,负载到了其他机器,用户有一个很特殊... 来自: yangrui0070的博客

12种开源Web安全扫描程序

11-24 5261

开源Web安全扫描程序来查找漏洞 赛门铁克的一个有趣的报告显示,76%的被扫描网站有恶意软件 如果您使用的是WordPress,那么SUCURI的另一份报告显示,超过70%的被扫描网站被感染了一个或... 来自: 静静是我女朋友

下载

Windows WEB服务器配置安全规范

05-27
Windows WEB服务器配置安全规范Windows WEB服务器配置安全规范Windows WEB服务器配置安全规范Windows WEB服务器配置安全规范
下载

淘宝秒杀器-绝对无毒

06-10
使用说明: 一,(关于参数设置功能说明:) 1,淘宝秒杀网址:就是秒杀网秒杀商品页面的网址。 2,打开/登录:输入淘宝秒杀网址后,在秒杀前必须按一次这个按钮,如果没有登录会提示登陆,如果已经登陆会打开淘宝秒杀商品页面。 3,退货运费险和匿...

SSM项目实战(四)--- 高并发秒杀系统总结

03-21 373

总结复习一下之前的秒杀系统,以下是前文链接,后续会不断修改和完善。 SSM项目实战(一)— 高并发秒杀系统之DAO层 SSM项目实战(二)–高并发秒杀系统之Service层 SSM项目实战(三... 来自: kayfen

商品秒杀问题的解决方案

01-07 1301

引言 假设num是存储在数据库中的字段,保存了被秒杀产品的剩余数量。 if($num > 0){ //用户抢购成功,记录用户信息 $num--; } 假设在一个并发量较高的场... 来自: koastal的博客

如何解决秒杀的性能问题和超卖

01-12 302

最近业务试水电商,接了一个秒杀的活。之前经常看到淘宝的同行们讨论秒杀,讨论电商,这次终于轮到我们自己理论结合实际一次了。   ps:进入正文前先说一点个人感受,之前看淘宝的ppt感觉都懂了,等到... 来自: ljl18566743868的博客

淘宝对于秒杀的处理

08-27 442

http://wenku.baidu.com/view/6752b789cc22bcd126ff0cbb.html 来自: laobi0228的专栏

安全优化--秒杀接口地址的隐藏

07-24 171

秒杀接口地址隐藏:每次点击秒杀按钮,才会生成秒杀地址,之前是不知道秒杀地址的。不是写死的,是从服务端获取,动态拼接而成的地址。(Http协议是明文传输,透明的,前端无法控制恶意用户进行攻击)安全校验还... 来自: weixin_38035852的博客

博主推荐

换一批

没有更多推荐了,返回首页
注册