Java Web知识网络安全实验室java web 学习

web项目漏洞扫描修改实践

2018-06-25  本文已影响15人  yangc91

前一段笔者负责的项目进行了安全渗透测试,现总结一下,以便有需要的读者使用。

问题

redis未授权访问漏洞

即其它机器无需密码可直接连接redis

三种解决方案:

  1. 只有本机访问, 开启防火墙,主机只对外暴露ssh和web服务端口, 防火墙命令参考iptables实践
  2. 只有本机访问,编辑redis.conf文件
vim redis.conf

...
# 此时连接主机只能输入127.0.0.1,不可输入主机真实ip(默认)
bind 127.0.0.1
...

# 启动redis
./redis-server /etc/redis.conf &

  1. 需要远程访问时,编辑redis.conf文件
vim redis.conf

...

# bind必须为0.0.0.0或主机的某个网口ip,其它机器才能进行远程连接
bind 0.0.0.0

....


# Warning: since Redis is pretty fast an outside user can try up to
# 150k passwords per second against a good box. This means that you should
# use a very strong password otherwise it will be very easy to break.

# 配置密码,redis速度极快,密码应该设置的非常复杂避免很快被暴力破解,
# 同时建议配合方案一使用防火墙限定指定源ip访问redis端口
requirepass foobared

...

# 启动redis
./redis-server /etc/redis.conf &

猜测出远程SNMP服务存在可登录的用户名口令

未使用snmp服务时,直接关闭该服务即可; 如有使用,团体名设置复杂一点,不要使用默认的publlic

反射型跨站脚本编制漏洞(即xss)

参考SpringMvc防御XSS实践

UI信息泄露

针对“账号不存在” 和 “密码错误” 等情况,统一提示“用户名或密码错误”,防止额外泄露信息

cookie未设置HttpOnly属性

vim tomcat/conf/contenxt.xml

<!-- 给cookies设置HttpOnly属性 tomcat/conf/context.xml-->
<Context useHttpOnly="true">

新版tomcat默认就是HttpOnly

敏感信息泄露

输入一个不存在的地址时,泄露tomcat版本号等信息

自定义tomcat的404页面

#在ROOT下自定义一个404.html,其它都删除即可

# 配置tomcat 404页面
vim conf/web.xml

...
#添加如下配置
<error-page>
    <error-code>404</error-code>
    <location>/404.html</location>
 </error-page>
...

支持不安全的http方法

# 在 <webapp></webapp>标签中添加:
<security-constraint>
   <web-resource-collection>
      <url-pattern>/*</url-pattern>
      <http-method>PUT</http-method>
      <http-method>DELETE</http-method>
      <http-method>HEAD</http-method>
      <http-method>OPTIONS</http-method>
      <http-method>TRACE</http-method>
   </web-resource-collection>
   <auth-constraint>
   </auth-constraint>
 </security-constraint>
<login-config>
  <auth-method>BASIC</auth-method>
</login-config>

密码复杂度策略

设置密码规则,数字+大小写字母+特殊字符等组合形式,按项目场景自行选择

帐户锁定策略

防止暴力破解,连续错误指定次数,对账号进行冻结,联系管理员进行解冻。我们项目到这种程度即可,大家可按自己项目场景,自由设计冻结、解冻策略,
如10分钟内连续错误指定次数,进行冻结,冻结24小时后自动解冻,该策略也可适用于api限速场景(限定用户指定期间内访问api的次数)。

上一篇下一篇

猜你喜欢

热点阅读