信息安全技术与应用（高学勤）课件 2.3 Web安全加固

第3节Web安全加固第2章目

录01主流Web服务器安全配置02常见第三方软硬件安全配置01主流Web服务器安全配置IIS安全配置01.删除IIS默认站点IIS安装完成之后会建立一个默认站点，事实上这个站点是非必要的，一方面该站点默认占用80端口，另一方面该站点安全性配置较低，容易被攻击者攻击利用，因此需要及时禁用或删除默认站点。02.禁用WebDav功能因WebDaV存在严重的安全问题，并未得到广泛的应用。WebDaV功能“搭配”目录浏览功能，可能允许客户端修改Web服务器上的未经授权的文件，所以需要禁用WebDav功能。IIS安全配置禁用后禁用前03.禁用目录浏览目录浏览功能可能会导致信息泄露，IIS的目录浏览功能允许根据Web客户端的请求显示目录的内容。若IIS启用了目录浏览功能，且默认文档功能在IIS中被禁用或站点中存在目录，则页面会显示目录信息。IIS安全配置需要将站点路径设置在系统磁盘以外的其他磁盘中04.修改站点文件路径随着时间的推移，Web站点或者Web应用程序所产生的数据或文件，可能会导致系统磁盘空间被占满，同时Web站点或者Web应用程序的漏洞可能会导致文件信息泄露。若站点存在于系统分区上则不符合安全加固要求。IIS安全配置05.修改默认错误页面IIS默认的错误处理（如404、500等错误响应），会给客户端反馈详细的错误信息，这将导致服务器的一些敏感信息文件被泄露。需要进行错误页面替换，隐藏敏感信息。创建一份新的错误页面，然后在设置中选择自定义错误页面即可。默认404错误页面自定义404错误页面注：有关IIS中间件安全配置的内容，请参阅第二章/IS中间件安全配置.mp4IIS安全配置01.账号设置用高权限用户运行Apache会存在安全隐患，需要以专门的用户帐号和用户组运行Apache服务。Apache安全配置修改Apache配置文件，以apache用户运行服务列出进程，查看是否以apache用户运行02.授权设置网站在创建时，需要严格控制Apache主目录的访问权限，非超级用户不能修改该目录中的内容。严格设置配置文件和日志文件的权限，防止未授权访问设置日志文件为属主可读写，其他用户拥有只读权限Apache安全配置03.日志设置Apache设备应配置日志功能，用于对运行错误、用户访问等事件进行记录，记录内容包括时间，用户使用的IP地址等内容，当网站被黑客攻击后，可进行溯源排查。Apache安全配置4.禁止目录访问目录列出会导致明显信息泄露或下载，需要禁止Apache列表显示文件。禁止前禁止后Apache安全配置5.错误重定向Apache错误页面重定向功能可以防止敏感信息泄露。即将错误页面重定向到指定页面。重定向前重定向后Apache安全配置6.拒绝服务防范网站暴露在公网中，非常容易受到黑客发起的DDoS攻击，一旦业务网站被黑客进行DDoS攻击，那么Web服务将无法正常提供。在Apache层面，可根据业务需要，合理设置session时间，防止拒绝服务攻击。Apache安全配置7.隐藏Apache的版本号隐藏Apache的版本号及其它敏感信息，防止敏感信息泄露。Banner隐藏前Banner隐藏后注：有关Apache中间件安全配置的内容，请参阅第二章/Apache中间件安全配置.mp4Apache安全配置Nginx安全配置禁用server_tokens指令通过修改server_tokens指令隐藏服务器banner信息。Banner隐藏前Banner隐藏后01.禁用不需要的http方法关闭没必要的请求方法，通常请求方法为GET|POST|HEAD，其他的请求方法可以不启用。02.Nginx安全配置禁用目录浏览目录浏览功能可能会导致信息泄露，目录浏览允许根据Web客户端的请求显示目录的内容。禁用前禁用后03.Nginx安全配置禁止访问指定资源部分资源需要禁止对外开放，比如一些版本控制的备份文件，如.git/.svn等，这些暴露了可能会造成整个项目的结构或是源代码泄露。禁用前禁用后04.Nginx安全配置避免错误页面泄露敏感信息，可以定制一些通用的错误页面返回给客户端。创建404.html页面，并写入自定义错误内容浏览器访问自定义错误页面05.自定义错误信息Nginx安全配置Tomcat安全配置账号设置配置tomcat管理后台登录的账号及密码。旧版本的Tomcat管理后台账号密码均为tomcat，属于弱口令，需要及时修改。1在Tomcat8.0的tomcat/webapps目录中，含有5个Tomcat自带的Web项目，webapps目录下的docs、examples、manager、ROOT、host-manager目录，这些默认项目存在泄漏风险，需要及时删除。2删除webapps应用执行rm-rf命令删除webapps目录下的所有内容即可Tomcat安全配置禁止Tomcat目录列表禁止列出目录，目的和IIS、Apache、Nginx服务一样，避免敏感信息泄露。禁用前禁用后3Tomcat安全配置设置Cookie的HttpOnly属性设置Cookie的HttpOnly属性，可以防止XSS跨站脚本攻击，tomcat6开始支持此属性，此处在context.xml中添加启用配置，context.xml配置即调用时生效不需要重启tomcat。4Tomcat安全配置配置shutdown端口前面提到过，Tomcat服务启动后，会监听8005端口，而8005端口会监听SHUTDOWN命令，从而直接关闭tomcat服务。修改配置文件端口参数8005端口已经不再监听5Tomcat安全配置隐藏Tomcat版本信息通过修改项目文件隐藏banner信息，目的和Apache、Nginx服务一样，避免banner版本信息泄露。Banner隐藏前Banner隐藏后6Tomcat安全配置02常见第三方软硬件安全配置常见Web安全防护产品启明星辰天清Web应用安全网关天融信Web应用安全防护系统TopWAF奇安信网神Web应用防火墙深信服Web应用防火墙WAF......D盾网站安全狗（Safedog）OpenWAFModSecurity......硬件级Web防护产品软件级Web防护产品基于AI+规则的Web攻击识别，防绕过、低漏报、低误报、精准有效防御常见Web攻击。用户可设置将核心网页内容缓存云端，并对外发布缓存中的网页内容，实现网页替身效果，防止网页篡改给组织带来负面影响。智能CC防护，综合源站异常响应情况（超时、响应延迟）和网站行为大数据分析，智能决策生成防御策略。通过事前服务器应用隐藏，事中入侵防护及事后敏感数据替换隐藏策略，防止后台数据库被黑客窃取。基于AI+规则库的网页爬虫及BOT机器人管理，协助企业规避恶意BOT行为带来的业务风险问题。硬件产品防护功能（某云服务商WAF）常见Web攻击识别CC攻击防护网页防篡改数据防泄漏爬虫BOT行为管理常见Web安全防护产品网马木马主动防御及查杀流量监控网站漏洞防御功能（SQL注入、XSS等）危险组件防护功能.Net安全保护模块双层防盗链链接模式网站特定资源防下载CC攻击防护网站流量保护IP黑白名单软件产品防护功能（网站安全狗Safedog）常见Web安全防护产品注：有关Safedog安全策略配置的内容，请参阅第二章/配置SafeDog安全策略实现攻击防护.mp4Safedog安全策略配置实现STEP1访问漏洞站点并进行攻击测试STEP2配置并启用网站安全狗默认防护功能重新执行攻击，触发拦截查看防护日志STEP3STEP4常见Web安全防护产品本章介绍了主流Web服务器安全配置及常见第三方软硬件安全配置等内容。熟悉了常