信息安全技術(shù)與應(yīng)用（高學(xué)勤）課件 2.3 Web安全加固

第3節(jié)Web安全加固第2章目

錄01主流Web服務(wù)器安全配置02常見第三方軟硬件安全配置01主流Web服務(wù)器安全配置IIS安全配置01.刪除IIS默認(rèn)站點(diǎn)IIS安裝完成之后會建立一個默認(rèn)站點(diǎn)，事實(shí)上這個站點(diǎn)是非必要的，一方面該站點(diǎn)默認(rèn)占用80端口，另一方面該站點(diǎn)安全性配置較低，容易被攻擊者攻擊利用，因此需要及時(shí)禁用或刪除默認(rèn)站點(diǎn)。02.禁用WebDav功能因WebDaV存在嚴(yán)重的安全問題，并未得到廣泛的應(yīng)用。WebDaV功能“搭配”目錄瀏覽功能，可能允許客戶端修改Web服務(wù)器上的未經(jīng)授權(quán)的文件，所以需要禁用WebDav功能。IIS安全配置禁用后禁用前03.禁用目錄瀏覽目錄瀏覽功能可能會導(dǎo)致信息泄露，IIS的目錄瀏覽功能允許根據(jù)Web客戶端的請求顯示目錄的內(nèi)容。若IIS啟用了目錄瀏覽功能，且默認(rèn)文檔功能在IIS中被禁用或站點(diǎn)中存在目錄，則頁面會顯示目錄信息。IIS安全配置需要將站點(diǎn)路徑設(shè)置在系統(tǒng)磁盤以外的其他磁盤中04.修改站點(diǎn)文件路徑隨著時(shí)間的推移，Web站點(diǎn)或者Web應(yīng)用程序所產(chǎn)生的數(shù)據(jù)或文件，可能會導(dǎo)致系統(tǒng)磁盤空間被占滿，同時(shí)Web站點(diǎn)或者Web應(yīng)用程序的漏洞可能會導(dǎo)致文件信息泄露。若站點(diǎn)存在于系統(tǒng)分區(qū)上則不符合安全加固要求。IIS安全配置05.修改默認(rèn)錯誤頁面IIS默認(rèn)的錯誤處理（如404、500等錯誤響應(yīng)），會給客戶端反饋詳細(xì)的錯誤信息，這將導(dǎo)致服務(wù)器的一些敏感信息文件被泄露。需要進(jìn)行錯誤頁面替換，隱藏敏感信息。創(chuàng)建一份新的錯誤頁面，然后在設(shè)置中選擇自定義錯誤頁面即可。默認(rèn)404錯誤頁面自定義404錯誤頁面注：有關(guān)IIS中間件安全配置的內(nèi)容，請參閱第二章/IS中間件安全配置.mp4IIS安全配置01.賬號設(shè)置用高權(quán)限用戶運(yùn)行Apache會存在安全隱患，需要以專門的用戶帳號和用戶組運(yùn)行Apache服務(wù)。Apache安全配置修改Apache配置文件，以apache用戶運(yùn)行服務(wù)列出進(jìn)程，查看是否以apache用戶運(yùn)行02.授權(quán)設(shè)置網(wǎng)站在創(chuàng)建時(shí)，需要嚴(yán)格控制Apache主目錄的訪問權(quán)限，非超級用戶不能修改該目錄中的內(nèi)容。嚴(yán)格設(shè)置配置文件和日志文件的權(quán)限，防止未授權(quán)訪問設(shè)置日志文件為屬主可讀寫，其他用戶擁有只讀權(quán)限Apache安全配置03.日志設(shè)置Apache設(shè)備應(yīng)配置日志功能，用于對運(yùn)行錯誤、用戶訪問等事件進(jìn)行記錄，記錄內(nèi)容包括時(shí)間，用戶使用的IP地址等內(nèi)容，當(dāng)網(wǎng)站被黑客攻擊后，可進(jìn)行溯源排查。Apache安全配置4.禁止目錄訪問目錄列出會導(dǎo)致明顯信息泄露或下載，需要禁止Apache列表顯示文件。禁止前禁止后Apache安全配置5.錯誤重定向Apache錯誤頁面重定向功能可以防止敏感信息泄露。即將錯誤頁面重定向到指定頁面。重定向前重定向后Apache安全配置6.拒絕服務(wù)防范網(wǎng)站暴露在公網(wǎng)中，非常容易受到黑客發(fā)起的DDoS攻擊，一旦業(yè)務(wù)網(wǎng)站被黑客進(jìn)行DDoS攻擊，那么Web服務(wù)將無法正常提供。在Apache層面，可根據(jù)業(yè)務(wù)需要，合理設(shè)置session時(shí)間，防止拒絕服務(wù)攻擊。Apache安全配置7.隱藏Apache的版本號隱藏Apache的版本號及其它敏感信息，防止敏感信息泄露。Banner隱藏前Banner隱藏后注：有關(guān)Apache中間件安全配置的內(nèi)容，請參閱第二章/Apache中間件安全配置.mp4Apache安全配置Nginx安全配置禁用server_tokens指令通過修改server_tokens指令隱藏服務(wù)器banner信息。Banner隱藏前Banner隱藏后01.禁用不需要的http方法關(guān)閉沒必要的請求方法，通常請求方法為GET|POST|HEAD，其他的請求方法可以不啟用。02.Nginx安全配置禁用目錄瀏覽目錄瀏覽功能可能會導(dǎo)致信息泄露，目錄瀏覽允許根據(jù)Web客戶端的請求顯示目錄的內(nèi)容。禁用前禁用后03.Nginx安全配置禁止訪問指定資源部分資源需要禁止對外開放，比如一些版本控制的備份文件，如.git/.svn等，這些暴露了可能會造成整個項(xiàng)目的結(jié)構(gòu)或是源代碼泄露。禁用前禁用后04.Nginx安全配置避免錯誤頁面泄露敏感信息，可以定制一些通用的錯誤頁面返回給客戶端。創(chuàng)建404.html頁面，并寫入自定義錯誤內(nèi)容瀏覽器訪問自定義錯誤頁面05.自定義錯誤信息Nginx安全配置Tomcat安全配置賬號設(shè)置配置tomcat管理后臺登錄的賬號及密碼。舊版本的Tomcat管理后臺賬號密碼均為tomcat，屬于弱口令，需要及時(shí)修改。1在Tomcat8.0的tomcat/webapps目錄中，含有5個Tomcat自帶的Web項(xiàng)目，webapps目錄下的docs、examples、manager、ROOT、host-manager目錄，這些默認(rèn)項(xiàng)目存在泄漏風(fēng)險(xiǎn)，需要及時(shí)刪除。2刪除webapps應(yīng)用執(zhí)行rm-rf命令刪除webapps目錄下的所有內(nèi)容即可Tomcat安全配置禁止Tomcat目錄列表禁止列出目錄，目的和IIS、Apache、Nginx服務(wù)一樣，避免敏感信息泄露。禁用前禁用后3Tomcat安全配置設(shè)置Cookie的HttpOnly屬性設(shè)置Cookie的HttpOnly屬性，可以防止XSS跨站腳本攻擊，tomcat6開始支持此屬性，此處在context.xml中添加啟用配置，context.xml配置即調(diào)用時(shí)生效不需要重啟tomcat。4Tomcat安全配置配置shutdown端口前面提到過，Tomcat服務(wù)啟動后，會監(jiān)聽8005端口，而8005端口會監(jiān)聽SHUTDOWN命令，從而直接關(guān)閉tomcat服務(wù)。修改配置文件端口參數(shù)8005端口已經(jīng)不再監(jiān)聽5Tomcat安全配置隱藏Tomcat版本信息通過修改項(xiàng)目文件隱藏banner信息，目的和Apache、Nginx服務(wù)一樣，避免banner版本信息泄露。Banner隱藏前Banner隱藏后6Tomcat安全配置02常見第三方軟硬件安全配置常見Web安全防護(hù)產(chǎn)品啟明星辰天清Web應(yīng)用安全網(wǎng)關(guān)天融信Web應(yīng)用安全防護(hù)系統(tǒng)TopWAF奇安信網(wǎng)神Web應(yīng)用防火墻深信服Web應(yīng)用防火墻WAF......D盾網(wǎng)站安全狗（Safedog）OpenWAFModSecurity......硬件級Web防護(hù)產(chǎn)品軟件級Web防護(hù)產(chǎn)品基于AI+規(guī)則的Web攻擊識別，防繞過、低漏報(bào)、低誤報(bào)、精準(zhǔn)有效防御常見Web攻擊。用戶可設(shè)置將核心網(wǎng)頁內(nèi)容緩存云端，并對外發(fā)布緩存中的網(wǎng)頁內(nèi)容，實(shí)現(xiàn)網(wǎng)頁替身效果，防止網(wǎng)頁篡改給組織帶來負(fù)面影響。智能CC防護(hù)，綜合源站異常響應(yīng)情況（超時(shí)、響應(yīng)延遲）和網(wǎng)站行為大數(shù)據(jù)分析，智能決策生成防御策略。通過事前服務(wù)器應(yīng)用隱藏，事中入侵防護(hù)及事后敏感數(shù)據(jù)替換隱藏策略，防止后臺數(shù)據(jù)庫被黑客竊取?；贏I+規(guī)則庫的網(wǎng)頁爬蟲及BOT機(jī)器人管理，協(xié)助企業(yè)規(guī)避惡意BOT行為帶來的業(yè)務(wù)風(fēng)險(xiǎn)問題。硬件產(chǎn)品防護(hù)功能（某云服務(wù)商WAF）常見Web攻擊識別CC攻擊防護(hù)網(wǎng)頁防篡改數(shù)據(jù)防泄漏爬蟲BOT行為管理常見Web安全防護(hù)產(chǎn)品網(wǎng)馬木馬主動防御及查殺流量監(jiān)控網(wǎng)站漏洞防御功能（SQL注入、XSS等）危險(xiǎn)組件防護(hù)功能.Net安全保護(hù)模塊雙層防盜鏈鏈接模式網(wǎng)站特定資源防下載CC攻擊防護(hù)網(wǎng)站流量保護(hù)IP黑白名單軟件產(chǎn)品防護(hù)功能（網(wǎng)站安全狗Safedog）常見Web安全防護(hù)產(chǎn)品注：有關(guān)Safedog安全策略配置的內(nèi)容，請參閱第二章/配置SafeDog安全策略實(shí)現(xiàn)攻擊防護(hù).mp4Safedog安全策略配置實(shí)現(xiàn)STEP1訪問漏洞站點(diǎn)并進(jìn)行攻擊測試STEP2配置并啟用網(wǎng)站安全狗默認(rèn)防護(hù)功能重新執(zhí)行攻擊，觸發(fā)攔截查看防護(hù)日志STEP3STEP4常見Web安全防護(hù)產(chǎn)品本章介紹了主流Web服務(wù)器安全配置及常見第三方軟硬件安全配置等內(nèi)容。熟悉了常