1、weblogic 安全策略配置1. 用戶名密碼安全設置. 操作系統用戶 weblogic 安全要求：密碼長度應 8 位以上，并符合密碼復雜度要求修改密碼passwd weblogic/bea 目錄目錄屬性應為 0755. 用戶名密碼策略要求：不使用默認用戶名 / 密碼 :weblogic/weblogic密碼長度應 8 位以上，并符合密碼復雜度要求. 帳號鎖定策略要求：密碼重試次數 5 次，鎖定時間 30 分鐘點擊 security realms點擊 myrealm > Users lockout. 啟動文件weblogic 啟動時會讀取用戶名和密碼， 不應在啟動腳本里設置用戶名和密碼

2、如 WLS_USER=weblogic, WLS_PW=xx；x 而應 在域 目 錄下 設置 文 件，設置 username=weblogic,password=XXX。 Weblogic 啟動后會自動加密碼文件。. 修改 weblogic 密碼1 登錄 weblogic 控制臺，點擊 security realms2 點擊 myrealm > Users and Groups3 點擊 weblogic>passwords4 點擊 lock&edit ，修改密碼5 點 save, 會提示你密碼修改成功6 停止所有 weblogic 進程7 修改域目錄下文件8 刪掉緩存文件緩

3、存文件在域目錄 /server 下各個 server 下/security下9 啟動 weblogic ，用新密碼登錄測試。2. 審計日志. 開啟訪問日志，并保留 60 天1 點 Environment>servers ，對應各 servers2 點進各 server>logging>http3 點 lock&edit> ”rotation type ”:by time;> 勾選 limit numberof retained files>files to retain:604 點 save5 點 activate changes, 會提示設置生效，

4、但需重啟 weblogic 。6 如有其它 server 則按上面步驟設置7 重啟 weblogic. 訪問日志查看方法訪問日志存放在域目錄下 /servers/ 各 server/logs/*3. Weblogic header 設置正確設置 weblogic header 可以防止掃描軟件猜解 weblogic 的版本信息， 進而進行下一步攻擊。. 禁用 Send Server Header （默認禁用）點擊 Environment>servers>AdminServer>protocols>http 檢查是否勾選 Send Server header. 禁用 X-

5、Powered-By Header1 點擊最頂部的域 >Web Applications2 點擊 lock&edit 修改 X-Powered-By Header 為 X-Powered-By Header will not be sent3 點擊 save>activate changes 會提示設置生效，但需重啟 weblogic4 重啟 weblogic4. 限制應用服務器 Socket 數量1 停止 weblogic2 進入域目錄下 config 下3 備份文件cp4 修改在<server>v/server> 中間，<name>v/na

6、me后面力口<max-open-sock-count>250</max-open-sock-count> 5 啟動 weblogic 驗證是否生效5. 錯誤頁面處理修改應用下 /WEB-INF/, 包含如下格式內容 verror-page>vexception-type>*v/exception-type> vlocation>v/location>v/error-page>6. Session 超時設置修改應用下 /WEB-INF/, 包含如下格式內容：vsession-descriptor>vsession-param> vparam-name>TimeoutSecsv/p