15.1 Apache安全
(1)检查Apache的Module安装情况,根据“最小权限原则”,应该尽可能地减少不必要的Module,对于要使用的Module,则检查其对应版本是否存在已知的安全漏洞。
(2)指定Apache进程以单独的用户身份运行,使用高权限身份运行Apache会带来两个可怕的结果:当黑客入侵Web成功时,将直接获得一个高权限(比如root或admin)的shell;应用程序本身将具备较高权限,当出现bug时,可能会带来较高风险,比如删除本地重要文件、杀死进程等不可预知的结果。
15.2 Nginx安全
(1)Nginx需要注意软件本身的安全,及时升级软件版本。
15.3 jBoss远程命令执行
(2)jBoss是J2EE环境中一个流行的Web容器,但是jBoss在默认安装时提供的一些功能却不太安全,如果配置不得当,则可能直接造成远程命令执行。
(2)默认安装时访问JMX-Console是没有任何认证的。因此出于安全防御的目的,在加固时,需要删除JMX-Console后台,事实上,jBoss的使用完全可以不依赖它。
(3)如果出于业务需要不得不使用JMX-Console,则应该使用一个强壮的密码,并且运行JMX-Console的端口不应该面向整个Internet开放。
15.4 Tomcat远程命令执行
(1)Apache Tomcat与jBoss一样,默认也会运行在8080端口,它提供的Tomcat Manager的作用与JMX-Console类似,管理员也可以在Tomcat Manager中部署war包。
(2)由于攻击者可以通过暴力破解等方式获取后台的访问权限,因此虽然Tomcat后台有密码认证,还是建议删除这一后台。
15.5 HTTP Parameter Pollution
(1)通过GET或POST向服务器发起请求时,提交两个相同的参数,在某些服务器环境中,会只取第一个参数.