设
备
型号
系统
版本
Weblogic9.2
IP
地址
内容
1
、
应用程序补丁
描述
应用软件补丁是厂商对
weblogic
可能包含的缺陷所做的修补,定期检查
weblogic
相关安全补丁可以避免降低遭受威胁的可能
检查项
根据
BEA
漏洞公告:
http://www.oracle.com/technology/deploy/security/alerts.htm/
定期测试并完
成补丁安装
检查结果:已安装补丁
2
、
删除开发与示例程序
描述
开发与示例程序是
Weblogic
用于指导开发的文档,
正式环境中应该移除,
避免被攻击者利用
检查项
检查生产环境中
weblogic server
的开发与示例程序是否已删除。
检查结果:已删除
3
、
加密传输敏感信息
描述
使用未加密的协议进行信息传输无法避免网络嗅探的发生,传输敏感信
息如身份认证信息,使用
SSL
可以保障信息传输的安全性
检查项
检查
weblogic
是否采用
SSL
配置
检查结果:未采用
SSL
配置
4
、
对
SSL
进行保护
描述
通常
SSL
协议并不能抵抗中间人攻击的发生,通过启用主机名校验,可
以有效确认信息发送方的身份,避免了中间人攻击的发生
检查项
登录
weblogic
控制台,通常是“
http://
应用于服务器
IP:7001/console
”
,
然后找到以下项目
Server->->Connections->SSL
,查看是否
已禁用
”Hostname Verification Ignored”
检查结果:未使用
SSL
5
、
帐号与密码