nginx加固禁止显示版本server_tokensoff;或者通过源码编译的时候修改/src/core/nginx.h#defineNGINX_VERSION"1.9.15"#defineNGINX_VER"nginx/"NGINX_VERSION禁止上传目录禁止php文件单个目录location~/upload/.*.(php|php5)?${denya
原创
2019-07-30 22:33:38
573阅读
安全加固-Nginx-Tomcat
原创
2019-05-20 22:55:22
1369阅读
这次的安全加固,Tomcat是重灾区。所以整理下Tomcat的安全加固。1. 升级到最新稳定版,这个是老生常谈了。目前Tomcat支持6.0和7.0两个版本。1) 出于稳定性考虑,不建议进行跨版本升级,如果之前是6.0系列版本,最好还是使用该系列的最新版本。2) 在统计目录部署最新的Tomcat,将conf目录下的文件和webapp复制过来,之后修改server.xml,修改监听端口进行测试,无误
原创
2013-07-29 18:14:32
10000+阅读
点赞
1评论
禁用TRACE请求关闭xpoweredBy响应头禁用SSL
v3协议自定义错误页面Tomcat内部生成的错误页面包含Tomcat相关信息, 更换其错误页面编辑conf/web.xml,在</web-app>标签前添加以下内容<error-page> <error-code>404</error-code>
原创
2018-08-20 17:02:32
2902阅读
Tomcat 加固适用版本:tomcat 7、8、91、 版本安全(可选加固)说明:升级到最新稳定版本。出于稳定性能考虑,不建议进行跨版本升级 解决方法:版本为tomcat 7.0.1 建议升级到7的最新版。2、 服务降权(必须加固)说明:不要使用root用户启动tomcat,使用用普通用户启动Tomcat,集群内用户名统一UID。3、 禁止管理端(必须加固)说明:a、删除默认$CATA
1 账号管理、认证授权1.1.1 通用说明1. 密码复杂性要求:长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类。2. Tomcat版本用户角色分为:role1,tomcat,admin,manager四种。l&nbs
转载
精选
2014-11-04 06:53:22
2498阅读
Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。由于运维人员的疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得或者不法分子可以利用该漏洞直接上传 Webshell 脚本导致服务器沦陷。 通常 Tomcat 后台管理的 URL 地址为 htt
转载
2018-06-29 11:29:00
105阅读
Tomcat是一个广泛使用的开源Java应用服务器,被用来部署和运行Java Servlet和JavaServer Pages。然而,由于其开放源代码的特性,Tomcat也容易受到安全威胁,因此在使用Tomcat时,保障安全是至关重要的。为了加强Tomcat在Linux系统上的安全性,我们可以进行一些加固措施。
首先,我们可以通过修改Tomcat的默认端口来增强安全性。Tomcat的默认端口是8
公司各业务网站大多用到Nginx,花了点时间整理了一下Nginx服务器安全加固的各类tips。 默认配置文件和Nginx端口/usr/local/nginx/conf/-Nginx配置文件目录,/usr/local/nginx/conf/nginx.conf是主配置文件/usr/local/nginx/html/-默认网站文件位置/usr/local/nginx/logs/-默认日志文件
nginx模块 http_substitutions_filter_modulemodsecurityTengine支持了动态加载模块增加modsecurity模块 modsecurity倾向于过滤和阻止web危险http://waringid.blog.51cto.com/65148/1629905关闭服务器标记 http{server_tokens off}
转载
精选
2015-11-05 16:24:45
6180阅读
ngx_lua_waf是我一个基于ngx_lua的web应用防火墙。 代码很简单,开发初衷主要是使用简单,高性能和轻量级。 现在开源出来.其中包含我们的过滤规则。如果大家有什么建议和想fa,欢迎和我一起完善。 用途: 用于过滤post,get,cookie方式常见的web攻击 防止sql注入,本地包含,部分溢出,fuzzing测试,xss,SSRF等web攻击 防止svn/备份之类文件泄漏 防
安全加固 1、禁止目录浏览/隐藏版本信息 编辑nginx.conf配置文件,HTTP模块添加如下一行内容,并重启:autoindex off; #禁止目录浏览
server_tokens off; #隐藏版本信息2、限制http请求方法if ($request_method !~ ^(GET|HEAD|POST)$ ) {
return444;
}3、限制IP访问loc
第1章 概述1.1 目标现有的Web服务体系架构缺少有效的安全性支持,所以需要一个安全框架模型来解决Web服务中的各种安全问题。Web服务器是应用的载体,如果这个载体出现安全问题,那么运行在其中的Web应用程序的安全就得不到保障了。本文主要描述Apache Tomcat的安全加固和配置工作,最终用以指导系统实施。1.2  
原创
2015-01-31 09:56:50
8991阅读
更新时间: 2020-10-22Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。由于运维人员的疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接上传 Webshell 脚本导致服务器沦陷。通常 Tomcat 后台管理的 URL 地址为 http://iP:8080/manager/html/, 如下图所
原创
2022-06-28 11:37:20
673阅读
tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。以下是一些安全加固的方法: 版本安全 服务降权 端口保护 1 更改tomcat管理端口8005 ,此端口有权限关闭
nginx发展多年,自身的安全漏洞比较少,发现软件漏洞,一般利用软件包管理器升级一下就好了。本文侧重讲述的不是nginx自身的安全,而是利用nginx来加固web应用,干一些应用防火墙(WAF)干的活。在做安全加固的时候,我们一定要头脑清晰,手里拿着刀,一刀一刀的切,将我们不想要的流量干掉,除去隐患。1、屏蔽IP假设我们的网站只是一个国内小站,有着公司业务,不是靠广告生存的那种,那么可以用geoi
原创
2015-05-15 15:58:43
10000+阅读
点赞
1评论
Nginx安全加固nginx发展多年,自身的安全漏洞比较少,发现软件漏洞,一般利用软件包管理器升级一下就好了。本文侧重讲述的不是nginx自身的安全,而是利用nginx来加固web应用,干一些应用防火墙(WAF)干的活。在做安全加固的时候,我们一定要头脑清晰,手里拿着刀,一刀一刀的切,将我们不想要的流量干掉,除去隐患。1、Nginx权限设置(必须加固)说明:Nginx权限设置分为Nginx运行权限
东拚西凑了一些有用的东东,可以贴在nginx配置文件中,
功能比较杂,防盗链、防注入等等
location = /robots.txt { access_log off; log_not_found off; }
原创
2012-08-07 22:11:01
1405阅读
1评论
nginx的安装配置详解 nginx
虚拟服务器
curl - 配置简单,灵活,轻便高并发(静态小文件),静态几万并发占资源小,2W并发,开10个线程服务,内存只消耗几百M功能种类比较多(web,cache,proxy),但是每个功能都不是特别强nginx 可以配合动态服务(FASTCGI接口)利用nginx可以对ip限速,可以限制连接数nginx的并发很高,1-2
一、Nginx后端服务指定的Header隐藏状态 | 服务配置描述隐藏Nginx后端服务X-Powered-By头加固建议隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf配置文件; 2、在http下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Ser
