第3節Web安全加固第2章目

錄01主流Web服務器安全配置02常見第三方軟硬件安全配置01主流Web服務器安全配置IIS安全配置01.刪除IIS默認站點IIS安裝完成之后會建立一個默認站點，事實上這個站點是非必要的，一方面該站點默認占用80端口，另一方面該站點安全性配置較低，容易被攻擊者攻擊利用，因此需要及時禁用或刪除默認站點。02.禁用WebDav功能因WebDaV存在嚴重的安全問題，并未得到廣泛的應用。WebDaV功能“搭配”目錄瀏覽功能，可能允許客戶端修改Web服務器上的未經授權的文件，所以需要禁用WebDav功能。IIS安全配置禁用后禁用前03.禁用目錄瀏覽目錄瀏覽功能可能會導致信息泄露，IIS的目錄瀏覽功能允許根據Web客戶端的請求顯示目錄的內容。若IIS啟用了目錄瀏覽功能，且默認文檔功能在IIS中被禁用或站點中存在目錄，則頁面會顯示目錄信息。IIS安全配置需要將站點路徑設置在系統磁盤以外的其他磁盤中04.修改站點文件路徑隨著時間的推移，Web站點或者Web應用程序所產生的數據或文件，可能會導致系統磁盤空間被占滿，同時Web站點或者Web應用程序的漏洞可能會導致文件信息泄露。若站點存在于系統分區上則不符合安全加固要求。IIS安全配置05.修改默認錯誤頁面IIS默認的錯誤處理（如404、500等錯誤響應），會給客戶端反饋詳細的錯誤信息，這將導致服務器的一些敏感信息文件被泄露。需要進行錯誤頁面替換，隱藏敏感信息。創建一份新的錯誤頁面，然后在設置中選擇自定義錯誤頁面即可。默認404錯誤頁面自定義404錯誤頁面注：有關IIS中間件安全配置的內容，請參閱第二章/IS中間件安全配置.mp4IIS安全配置01.賬號設置用高權限用戶運行Apache會存在安全隱患，需要以專門的用戶帳號和用戶組運行Apache服務。Apache安全配置修改Apache配置文件，以apache用戶運行服務列出進程，查看是否以apache用戶運行02.授權設置網站在創建時，需要嚴格控制Apache主目錄的訪問權限，非超級用戶不能修改該目錄中的內容。嚴格設置配置文件和日志文件的權限，防止未授權訪問設置日志文件為屬主可讀寫，其他用戶擁有只讀權限Apache安全配置03.日志設置Apache設備應配置日志功能，用于對運行錯誤、用戶訪問等事件進行記錄，記錄內容包括時間，用戶使用的IP地址等內容，當網站被黑客攻擊后，可進行溯源排查。Apache安全配置4.禁止目錄訪問目錄列出會導致明顯信息泄露或下載，需要禁止Apache列表顯示文件。禁止前禁止后Apache安全配置5.錯誤重定向Apache錯誤頁面重定向功能可以防止敏感信息泄露。即將錯誤頁面重定向到指定頁面。重定向前重定向后Apache安全配置6.拒絕服務防范網站暴露在公網中，非常容易受到黑客發起的DDoS攻擊，一旦業務網站被黑客進行DDoS攻擊，那么Web服務將無法正常提供。在Apache層面，可根據業務需要，合理設置session時間，防止拒絕服務攻擊。Apache安全配置7.隱藏Apache的版本號隱藏Apache的版本號及其它敏感信息，防止敏感信息泄露。Banner隱藏前Banner隱藏后注：有關Apache中間件安全配置的內容，請參閱第二章/Apache中間件安全配置.mp4Apache安全配置Nginx安全配置禁用server_tokens指令通過修改server_tokens指令隱藏服務器banner信息。Banner隱藏前Banner隱藏后01.禁用不需要的http方法關閉沒必要的請求方法，通常請求方法為GET|POST|HEAD，其他的請求方法可以不啟用。02.Nginx安全配置禁用目錄瀏覽目錄瀏覽功能可能會導致信息泄露，目錄瀏覽允許根據Web客戶端的請求顯示目錄的內容。禁用前禁用后03.Nginx安全配置禁止訪問指定資源部分資源需要禁止對外開放，比如一些版本控制的備份文件，如.git/.svn等，這些暴露了可能會造成整個項目的結構或是源代碼泄露。禁用前禁用后04.Nginx安全配置避免錯誤頁面泄露敏感信息，可以定制一些通用的錯誤頁面返回給客戶端。創建404.html頁面，并寫入自定義錯誤內容瀏覽器訪問自定義錯誤頁面05.自定義錯誤信息Nginx安全配置Tomcat安全配置賬號設置配置tomcat管理后臺登錄的賬號及密碼。舊版本的Tomcat管理后臺賬號密碼均為tomcat，屬于弱口令，需要及時修改。1在Tomcat8.0的tomcat/webapps目錄中，含有5個Tomcat自帶的Web項目，webapps目錄下的docs、examples、manager、ROOT、host-manager目錄，這些默認項目存在泄漏風險，需要及時刪除。2刪除webapps應用執行rm-rf命令刪除webapps目錄下的所有內容即可Tomcat安全配置禁止Tomcat目錄列表禁止列出目錄，目的和IIS、Apache、Nginx服務一樣，避免敏感信息泄露。禁用前禁用后3Tomcat安全配置設置Cookie的HttpOnly屬性設置Cookie的HttpOnly屬性，可以防止XSS跨站腳本攻擊，tomcat6開始支持此屬性，此處在context.xml中添加啟用配置，context.xml配置即調用時生效不需要重啟tomcat。4Tomcat安全配置配置shutdown端口前面提到過，Tomcat服務啟動后，會監聽8005端口，而8005端口會監聽SHUTDOWN命令，從而直接關閉tomcat服務。修改配置文件端口參數8005端口已經不再監聽5Tomcat安全配置隱藏Tomcat版本信息通過修改項目文件隱藏banner信息，目的和Apache、Nginx服務一樣，避免banner版本信息泄露。Banner隱藏前Banner隱藏后6Tomcat安全配置02常見第三方軟硬件安全配置常見Web安全防護產品啟明星辰天清Web應用安全網關天融信Web應用安全防護系統TopWAF奇安信網神Web應用防火墻深信服Web應用防火墻WAF......D盾網站安全狗（Safedog）OpenWAFModSecurity......硬件級Web防護產品軟件級Web防護產品基于AI+規則的Web攻擊識別，防繞過、低漏報、低誤報、精準有效防御常見Web攻擊。用戶可設置將核心網頁內容緩存云端，并對外發布緩存中的網頁內容，實現網頁替身效果，防止網頁篡改給組織帶來負面影響。智能CC防護，綜合源站異常響應情況（超時、響應延遲）和網站行為大數據分析，智能決策生成防御策略。通過事前服務器應用隱藏，事中入侵防護及事后敏感數據替換隱藏策略，防止后臺數據庫被黑客竊取。基于AI+規則庫的網頁爬蟲及BOT機器人管理，協助企業規避惡意BOT行為帶來的業務風險問題。硬件產品防護功能（某云服務商WAF）常見Web攻擊識別CC攻擊防護網頁防篡改數據防泄漏爬蟲BOT行為管理常見Web安全防護產品網馬木馬主動防御及查殺流量監控網站漏洞防御功能（SQL注入、XSS等）危險組件防護功能.Net安全保護模塊雙層防盜鏈鏈接模式網站特定資源防下載CC攻擊防護網站流量保護IP黑白名單軟件產品防護功能（網站安全狗Safedog）常見Web安全防護產品注：有關Safedog安全策略配置的內容，請參閱第二章/配置SafeDog安全策略實現攻擊防護.mp4Safedog安全策略配置實現STEP1訪問漏洞站點并進行攻擊測試STEP2配置并啟用網站安全狗默認防護功能重新執行攻擊，觸發攔截查看防護日志STEP3STEP4常見Web安全防護產品本章介紹了主流Web服務器安全配置及常見第三方軟硬件安全配置等內容。熟悉了常