目录
Web服务器是Web应用的载体,如果这个载体出现安全问题,那么运行在其中的web应用程序的安全也无法得到保障。Web服务器安全,考虑的是应用部署时的运行环境安全,这个运行环境包括Web Server、脚本语言解释器、中间件等。
无论是哪种web服务器,都应该做到最小权限原则,即启动该web服务器的用户不应该是 root/Administrator 用户。并且需要保护好Web服务器的日志文件。
- 启动Web服务器时,应该以单独的用户身份运行,通常单独为Web服务器建立一个 User/Group。
- 保护好Web服务器的日志文件。一般来说,攻击者入侵成功后,做的第一件事就是清除入侵痕迹,修改、删除日志文件,因为Web服务器的日志文件应当妥善保管,比如实时发送到远程的日志服务器上。
Apache
Apache HTTP Server(以下简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,是最流行的Web服务器软件之一。虽然近年来Nginx和Lighttpd等Web Server的市场份额增长得很快,但Apache仍然是这个领域中独一无二的巨头,互联网上大多数的Web应用依然运行在Apache上。
纵观Apache的漏洞史,它曾经出现过很多高危漏洞,但这些高危漏洞,大部分是由于Apache 的Module造成的,Apache核心的高危漏洞几乎没有。Apache有很多官方的与非官方的Module,默认启动的Module出现过高危漏洞的非常少,大多数的高危漏洞集中在第三方Module上。
- 检查Apache 的Module安装情况,根据最小权限原则,应该尽可能的减少不必要的Module。对于要使用的Module,则应该检查其对应版本是否存在已知的漏洞。
Apache的安全加固:
- 一是Apache Web Server本身是否安全,比如是否存在安全漏洞;
- 二是Apache Web Server是否提供了可使用的安全功能,这部分主要是检查Apache的配置是否得当,在安全性、可用性、稳定性之间取得平衡
Apache出现过的漏洞
- CVE-2017-15715:文件解析漏洞
- CVE-2011-3192:畸形Range选项处理远程拒绝服务漏洞
参考文章:Apache漏洞利用与安全加固实例分析
Tomcat
Tomcat漏洞预防:
1、删除webapps目录中的docs、examples、host-manager、manager等正式环境用不着的目录,这一步就可以解决大部分漏洞。有的网站没删除manager页面,并且管理员弱口令,导致直接Getshell。传送门——>Tomcat管理页面弱口令Getshell
2、解决“slow http denial of service attack”漏洞,缓慢的拒绝服务攻击漏洞。slow http denial of service attack漏洞是利用http post的时候,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节,让这种连接不断开,这样当客户端连接多了后,占用了webserver的所有可用连接,从而导制DOS,属于一种打拒绝服务攻击。
解决方法:
打开server.xml找到
-
<Connector port="8080" protocol="HTTP/1.1"
-
connectionTimeout=
"20000"
-
redirectPort=
"8443" />
将其中的connectionTimeout="20000"改为1000,其单位为ms。
Tomcat出现过的漏洞
- Tomcat后台弱口令上传war包(Tomcat管理弱口令页面Getshell)
- Tomcat 样例目录session操控漏洞
- CNNVD-201604-459:远程代码执行漏洞
- CVE-2016-1240:本地提权漏洞
- CVE-2017-12615:Tomcat的PUT的上传漏洞
- CVE-2017-12616:信息泄露漏洞
- CVE-2018-1305:安全绕过漏洞
相关文章:Tomcat漏洞集合
Nginx
Nginx是一个高性能的HTTP和反向代理服务器,该程序由俄罗斯Rambler.ru 站点开发,Nginx因为性能稳定、低系统资源消耗而闻名。默认监听端口: tcp / 80
Nginx出现过的漏洞
IIS
IIS是Windows Server中自带的一个Web服务器。
IIS出现过的漏洞
Weblogic
Weblogic出现过的漏洞
#控制台路径泄露
- Weakpassword
#SSRF:
- CVE-2014-4210
#JAVA反序列化:
- CVE-2015-4852
- CVE-2016-0638
- CVE-2016-3510
- CVE-2017-3248
- Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
- CVE-2018-2893
- CVE-2019-2725
- CVE-2019-2729
#任意文件上传
- CVE-2018-2894
#XMLDecoder反序列化:
Weblogic常识
http为7001端口,https为7002端口
Google关键字:WebLogic Server AdministrationConsole inurl:console
默认的用户名密码
- 用户名密码均为:weblogic
- 用户名密码均为:system
- 用户名密码均为:portaladmin
- 用户名密码均为:guest
上传地方:workshop> Deployments> Web应用程序> 部署新的 Web 应用程序模块>上传war的webshell。
相关文章:Weblogic反序列化漏洞
JBoss
上传地方:Deployments>Manage Deployments>Add Content
Enable后即可发布
shell地址:http://xx.xx.xx.xx:8080/magerx/test.jsp
相关文章:JBOSS反序列化漏洞
参考文章:白帽子讲Web安全