删除Tomcat 中的doc、manager目录,或者权限设置,禁止对外开发该目录和访问该服务。
3、不安全的CORS配置。
仅允许访问控制中选择的、受信任的域允许源头。
4、登录口可爆破
a、设置登录验证码防止爆破,但设计不好的验证码是可以绕过的。
b、设置账户锁定,设置一定次数的登录尝试失败,则锁定账户一段时间。
5、用户密码明文传输
建议按照网站的密级要求,需要对密码传输过程中进行加密得使用加密的方式传输,如使用HTTPS,但加密的方式增加成本,或许会影响用户体验。如果不用HTTPS,可以在网站前端用 Javascript 做密码加密,加密后再进行传输。
禁用除GET\POST外的其它HTTP方法,nginx在server条目下增加
if ($request_method !~* GET|POST) {
return 500;
}
在location下增加
limit_except GET POST {
deny all;
}
7、Web服务器错误页面信息泄露
nginx修改html目录下的50x.html和index.html。
8、Microsoft Windows IIS默认索引页
修改C:\inetpub\wwwroot目录下的iisstart.htm页面
9、默认的nginx HTTP服务器设置
修改nginx 下服务器设置,在http下添加
server_tokens off;
autoindex off;
#设置客户端请求头读取超时时间,超过这个时间还没有发送任何数据,Nginx将返回“Request time out(408)”错误
client_header_timeout 15;
#设置客户端请求主体读取超时时间,超过这个时间还没有发送任何数据,Nginx将返回“Request time out(408)”错误
client_body_timeout 15;
#上传文件大小限制
client_max_body_size 200m;
#指定响应客户端的超时时间。这个超过仅限于两个连接活动之间的时间,如果超过这个时间,客户端没有任何活动,Nginx将会关闭连接。
send_timeout 600;
#设置客户端连接保持会话的超时时间,超过这个时间,服务器会关闭该连接。
keepalive_timeout 60;
10、Apache Tomcat servlet / JSP容器默认文件
a、打开tomcat目录下的conf\server.xml,找到<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true">
添加<Context path="" docBase="helloword" debug="0" reloadable="true">,helloword为webapps下的自定义目录,下面由自定义的页面。
b、修改webapps\ROOT目录下的401.html、404.html、500.html
c、修改tomcat目录下的conf\web.xml,在节点的最后加入
<welcome-file-list>
</welcome-file-list>
<error-page>
<error-code>401</error-code>
<location>/401.htm</location>
</error-page>
以及其他的错误页面配置。
11、Web服务器HTTP头信息公开
a、修改nginx配置文件,在http下添加server_tokens off;关于使用Windows下的nginx。
b、要去掉响应头中的Server:nginx信息是不容易的,这个东西是在源码里面写死的,暂时没有找到修改方法。
网友评论