原文链接:http://payloads.online/archivers/2017-11-15/1
本文介绍一下小型Web应用的加固方案,内容均为原创 0x00 配置管理安全即使在存在某些高危漏洞的情况下,我们只要做好配置方面的安全加固即可防御许多攻击。 列目录 - 显示目录索引Apache修改站点目录对应的配置文件- <Directory />
- Options +Indexes +FollowSymLinks # 将 "+" 与 Indexes 去掉即可限制列出目录索引
- AllowOverride All
- Order allow,deny
- Allow from all
- Require all granted
- </Directory>
修改后: - <Directory />
- Options FollowSymLinks
- AllowOverride All
- Order allow,deny
- Allow from all
- Require all granted
- </Directory>
大家都见过很多框架的每个目录都有一个index.html文件,这个文件的存在是非常有意义的,很多线上的Web服务器都没有合格配置列出目录索引。导致网站内部许多文件都被攻击者查看到,泄漏大量信息。 为了防止列出目录索引,我们可以在站点的每个文件夹中创建一个index.html,这个文件内容是什么都无所谓了。当攻击者想通过列目录的手法访问你站点文件夹的时候,Web服务器将会判断当前目录下有没有DirectoryIndex默认首页,如果存在就显示DirectoryIndex对应的文件名的内容,这样攻击者就无法查看该目录下有什么文件了。 Tomcat修改conf/web.xml配置文件- <init-param>
- <param-name>listings</param-name>
- <param-value>true</param-value> <!-- 将true改为false -->
- </init-param>
修改后: - <init-param>
- <param-name>listings</param-name>
- <param-value>false</param-value>
- </init-param>
- location / {
- index index.html index.htm index.php l.php;
- autoindex on;
- }
修改后: - location / {
- index index.html index.htm index.php l.php;
- autoindex off;
- }
将以下配置加入conf/httpd.conf: - ServerTokens Prod
- ServerSignature Off
修改php.ini,将expose_php On改为:expose_php Off IIS找到HTTP响应头设置响应报文内容,可以将ASP.NET随意更改,甚至删除 Nginx在加入conf/nginx.conf一行: Tomcat到apache-tomcat安装目录下的lib子文件夹,找到catalina.jar这包,并进行解解压 修改:lib\catalina.zip\org\apache\catalina\util\ServerInfo.properties - server.info=X
- server.number=5.5
- server.built=Dec 1 2015 22:30:46 UTC
| 
|小黑屋|手机版|中国白客联盟-BUC
( 赣ICP备15007148号-6 ) 
窥视卡
雷达卡
发表于 2017-11-15 19:59:04
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡