web应用安全基线-tomcat安全配置

最新推荐文章于 2023-07-24 09:47:15 发布
最新推荐文章于 2023-07-24 09:47:15 发布
阅读量360 收藏 1
点赞数
文章标签: java 前端 web.xml ViewUI
原文链接:https://my.oschina.net/secscorpio/blog/792935
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Title:Linux-tomcat安全配置

tomcat 测试版本:tomcat7,tomcat8

 

0x00 删除默认目录

tomcat部署完毕,删除 $CATALINA_HOME/webapps下默认的全部目录文件

eg: rm -rf /opt/tomcat8/webapps/*

相关案例:Apache-tomcat样例目录存在漏洞

0x01 隐藏tomcat版本信息

修改 $CATALINA_HOME/conf/server.xml, 关注Connector节点的server字段

/opt/tomcat7_x/lib/org/apache/catalina/util/ServerInfo.properties,删除敏感信息即可;

0x02 用户管理

/opt/tomcat7_xxx/conf/tomcat-users.xml 下,屏蔽或删除用户权限相关配置

0x03 自动部署关闭

/opt/tomcat7_xxx/conf/server.xml 下,unpackWARS="false"     autoDeploy="false"

0x04 自定义错误页面

/opt/tomcat7_xxx/conf/web.xml 下,根据需要自定义404,500等error页面

0x05 禁止列目录

/opt/tomcat7_xxx/conf/web.xml 下,设置如下参数。高版本(tomcat7及以上默认禁止)

0x06 服务权限控制

tomcat服务原则上以非root用户启动,应用部署目录权限和tomcat服务启动用户分离。

0x07 AJP端口管理

AJP是为tomcat与HTTP服务器之间通信而定制的协议,能够提供较高的通信速度和效率。如果tomcat前端放的是apache,会用到AJP连接器。前端如果是由nginx做反向代理则可以不适用此连接器,此时需要注销掉该连接器。

0x08 启用cookie的HttpOnly属性

启用HttoOnly属性的依据:将cookie设置成HttpOnly是为了防止XSS攻击,窃取cookie内容,增加cookie的安全性。

 

文章归档:http://secscorpio.top/?p=42

转载于:https://my.oschina.net/secscorpio/blog/792935

weixin_34344677
关注
《网络安全自学教程》- Tomcat基线检查加固
wangyuxiang946的博客
07-09 7767
Tomcat安全配置规范,基线加固,安全加固。
14-1 tomcat安全基线检查
weixin_43263566的博客
12-07 1620
Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP) 和 Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为其对于Web应用的高效运行支持,即便是在性能相对有限的硬件平台上,也能保证良好的运行效率。
Tomcat中间件安全基线配置与操作指南
Bird&Bird
10-20 2480
1、账号管理 1.1、共享账号管理 安全基线项目名称 Tomcat 共享帐号管理安全基线要求项 安全基线编号 tomcat-001 安全基线项说明 应按照用户分配帐号,避免不同用户间共享帐号。 设置操作步骤 修改 tomcat/conf/tomcat-users.xml 配置文件,修改或添加 帐号。如: <user username=
gmailc2:一款基于Google SMTP的完全无法检测的C2服务器
qq_53058639的博客
07-24 619
1、持久化;2、支持Shell访问;3、查看系统信息;4、…
tomcat安全基线配置建议
Gary_H的专栏
02-15 2616
 检查项目: tomcat进程运行权限检测 路径: /xxx/xxx/apache-tomcat-7.0.88 当前值: 0 加固建议: 请创建低权限的账号运行tomcat 检查项目: 开启用户登录失败锁定 路径: /xxx/xxx/apache-tomcat-7.0.88/conf/server.xml 当前值: 加固建议: &lt;Realm className="org.apache.ca...
Tomcat 安全基线检查
咻一咻的博客
05-20 1922
控制台弱密码检查 | 身份鉴别 描述 tomcat-manger是Tomcat提供的web应用热部署功能,该功能具有较高权限,会直接控制Tomcat应用,应尽量避免使用此功能。如有特殊需求,请务必确保为该功能配置了强口令 加固建议 编辑Tomcat根目录下的配置文件conf/tomcat-user.xml,修改user节点的password属性值为复杂密码, 密码应符合复杂性要求: 1、长度8位以上 2、包含以下四类字符中的三类字符: 英文大写字母(A 到 Z) 英文小写字母(a 到 z) 10 个基本数字
01-阿里云标准-Apache Tomcat 安全基线检查
03-25
Apache Tomcat 是一个流行的开源Web服务器和Servlet容器,但是在实际应用中,如果不遵循安全基线,可能会导致安全隐患。阿里云标准-Apache Tomcat 安全基线检查旨在帮助用户遵循安全基线,检查Tomcat安全配置,...
TomcatWeb服务器安全配置基线.doc
06-07
Tomcat Web服务器安全配置基线》是中国移动通信有限公司管理信息系统部在2012年4月发布的指导性文档,旨在规范Tomcat Web服务器的安全配置,确保系统的安全性。该文档适用于4.x、5.x、6.x版本的Tomcat服务器,涉及...
WEB应用基线检查与安全加固.pptx
最新发布
03-15
### WEB应用基线检查与安全加固 #### 一、概述 随着互联网技术的快速发展,WEB应用已成为企业对外提供服务的主要方式之一。然而,WEB应用安全问题也随之凸显出来,成为企业和组织不可忽视的重要方面。为了保障...
web安全测试基线_使用Sassline在Web上创建基线网格
cune1359的博客
07-04 196
在线内容的主要部分是基于文本的,但是除非排版设计得当,否则人们不会对阅读您网站上的文本感兴趣。 您可能会使用自定义框架,但这些框架可能会受到限制 。 而是尝试使用Sassline ,这是一个免费的基于Sass的库,用于在Web上创建完美的网格线。 使用CSS创建的15种精美文字效果 .no-js #ref-block-post-23417 .ref-block__thumbnail ...
tomcat 安全规范(tomcat安全加固和规范)
09-29
tomcat是一个开源Web服务器,基于TomcatWeb运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击
Web应用安全配置基线指导
Star——Flying in the cyberspace
09-03 2212
本文描述了IT运维人员所维护管理的Web应用服务器应当遵循的安全标准,本文档旨在指导系统管理人员进行Web应用安全基线检查。本文使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。本文适用的范围为基于B/S架构的Web应用。 第1章  身份与访问控制 1.1        账户锁定策略 安全基线项目名称 Web应用账户锁定策略安全基线要求项
【技术分享】Tomcat基线安全
ff00yo的博客
04-18 1366
01前言 前几天@wilson师傅要测试线上命令监控功能,将我写的java-sec-code (https://github.com/JoyChou93/java-sec-code) 应用打包到线上的Tomcat进行命令执行测试,想到公司发布系统是在Tomat上运行的Java应用,所以去评估了公司发布系统的安全问题。结果发现一个很严重的安全漏洞,觉得有必要对Tomcat安全配置进行总结和说明。...
Apache Tomcat九项安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 4392
一、开启日志记录 | 安全审计 描述 Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位 检查提示 – 加固建议 1、修改Tomcat根目录下的conf/server.xml文件。 2、取消Host节点下Valve节点的注释(如没有则添加)。 <Valve className=“org.apache.catalina.valves.AccessLogValve” directory=“logs” prefix=“localhost_access_log” suffix=".t
开源中间件tomcat服务器安全配置基线指导
Star——Flying in the cyberspace
09-03 4265
本文规定了信息系统部门所维护管理的Tomcat WEB服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。本文适用的tomcat服务器版本为4.x、5.x、6.x版本的Tomcat Web服务器。 第1章           账号管理、认证授权 1.1   账号 1.1.1            共享帐号管理 安全基线
生产环境Tomcat安全规范
wenzhucjy的博客
05-24 8175
Tomcat安全 生产环境tomcat规范配置
Tomcat基线检查
gd0913的博客
04-20 1970
既无权访问非必须的文件,又不能执行非必须的程序 威胁等级:High 规则描述 缺省情况下,Java运行时根据运行它的用户授予安全权限。当Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。并且Servlets(JSP在运行过程中要转换成Servlets)取得了同样的权限。所以Java代码可以调用Java SDK中的文件API列出文件夹中的全部文件,删除任何文件,最大的危险在于以系统权限运行
安全基线自动化扫描、生成报告、加固的实现(以Tomcat为例)
weixin_30371469的博客
01-29 4653
一、背景说明 当前在服务上线前,安全部门都会对服务基线配置进行把关,整个流程可以分为扫描、生成报告、修复三步。 在执行这一流程时当前普遍的做法是半自动化的,扫描和生成报告是自动化的,执行扫描、执行生成报告和修复都是手动的。 这里我们要讲的,一是扫描脚本和生成报告脚本实现,二是执行扫描、执行生成报告和修复自动化实现。 二、项目说明 2.1 检测项 1. 删除示例文档 ...
tomcat安全配置参考
煜铭2011
10-15 5970
0x01 基本配置 1 删除默认目录 安装完tomcat后,删除$CATALINA_HOME/webapps下默认的所有目录文件 rm -rf /srv/apache-tomcat/webapps/* 2 隐藏tomcat版本信息 修改$CATALINA_HOME/conf/server.xml,在Connector节点添加server字段,示例如下 <...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值