搜索
查看: 1148|回复: 0

小型Web安全加固方案

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2017-11-15 19:59:04 | 显示全部楼层 |阅读模式
原文链接:http://payloads.online/archivers/2017-11-15/1

本文介绍一下小型Web应用的加固方案,内容均为原创
0x00 配置管理安全
即使在存在某些高危漏洞的情况下,我们只要做好配置方面的安全加固即可防御许多攻击。
列目录 - 显示目录索引Apache修改站点目录对应的配置文件
  1. <Directory />
  2.     Options +Indexes +FollowSymLinks # 将 "+" 与 Indexes 去掉即可限制列出目录索引
  3.     AllowOverride All
  4.     Order allow,deny
  5.     Allow from all
  6.     Require all granted
  7. </Directory>
复制代码
修改后:
  1. <Directory />
  2.     Options FollowSymLinks
  3.     AllowOverride All
  4.     Order allow,deny
  5.     Allow from all
  6.     Require all granted
  7. </Directory>
复制代码
创建DirectoryIndex默认文件
大家都见过很多框架的每个目录都有一个index.html文件,这个文件的存在是非常有意义的,很多线上的Web服务器都没有合格配置列出目录索引。导致网站内部许多文件都被攻击者查看到,泄漏大量信息。
为了防止列出目录索引,我们可以在站点的每个文件夹中创建一个index.html,这个文件内容是什么都无所谓了。当攻击者想通过列目录的手法访问你站点文件夹的时候,Web服务器将会判断当前目录下有没有DirectoryIndex默认首页,如果存在就显示DirectoryIndex对应的文件名的内容,这样攻击者就无法查看该目录下有什么文件了。
Tomcat修改conf/web.xml配置文件
  1. <init-param>
  2.             <param-name>listings</param-name>
  3.             <param-value>true</param-value> <!-- 将true改为false -->
  4. </init-param>
复制代码
修改后:
  1. <init-param>
  2.             <param-name>listings</param-name>
  3.             <param-value>false</param-value>
  4. </init-param>
复制代码
Nginx修改conf/nginx.conf配置文件
  1. location / {
  2.             index  index.html index.htm index.php l.php;
  3.            autoindex on;  
  4. }
复制代码
修改后:
  1. location / {
  2.             index  index.html index.htm index.php l.php;
  3.            autoindex off;  
  4. }
复制代码
IIS设置”目录浏览”权限
隐藏服务器版本信息Apache
将以下配置加入conf/httpd.conf:
  1. ServerTokens Prod
  2. ServerSignature Off
复制代码
PHP
修改php.ini,将expose_php On改为:expose_php Off
IIS
找到HTTP响应头设置响应报文内容,可以将ASP.NET随意更改,甚至删除
Nginx
在加入conf/nginx.conf一行:
  1. server_tokens off;
复制代码
Tomcat
到apache-tomcat安装目录下的lib子文件夹,找到catalina.jar这包,并进行解解压
修改:lib\catalina.zip\org\apache\catalina\util\ServerInfo.properties
  1. server.info=X
  2. server.number=5.5
  3. server.built=Dec 1 2015 22:30:46 UTC
复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表