1. 適用情況
適用於使用Weblogic進行部署的Web網站。
2. 技能要求
熟悉Weblogic安裝部署,熟悉Weblogic常見漏洞利用方式,並能針對站點使用Weblogic進行安全加固。
3. 前置條件
1、根據站點開放端口,進程ID,確認站點采用Weblogic進行部署;
2、找到Weblogic站點位置
4. 詳細操作
4.1 控制台用戶設置
1、用戶弱口令修改
2、用戶賬號鎖定設置
3、設置密碼策略
安全領域>myrealm>提供程序>口令驗證> SystemPasswordValidator>提供程序特定>配置策略
4.2 日志配置
默認情況下, HTTP 日志記錄處於啟用狀態,日志默認在base_domain\servers\AdminServer\logs目錄,其中access.log是安裝在該server之上的應用的的http訪問日志。
1、在Weblogic管理后台,找到環境—服務器,然后鎖定並編輯,點擊服務名稱進入設置頁面:
2、選擇日志記錄--HTTP
4.3 最佳經驗實踐
4.3.1 更改默認運行端口
依次點擊環境>服務器>Adminservers(管理)>一般信息,更改監聽端口7001為其他端口:
4.3.2 禁用Send Server Header
依次點擊環境>服務器>Adminservers(管理)>協議>http
檢查是否勾選Send Server header
4.3.3 禁用X-Powered-By Header
依次點擊base_domain>web應用程序,
在X-Powered-By 標頭修改為“將不發送X-Powered-By Header”
4.3.4 限制應用服務器Socket數量
依次點擊環境>服務器>Adminservers(管理)>配置>優化
4.4 風險操作項
Weblogic歷史漏洞展示:
4.4.1 CVE-2018-2628臨時解決方案
CVE-2018-2628解決方案:
Oracle WebLogic反序列化漏洞CVE-2018-2628 官方補丁 ,Oracle官方已經在關鍵補丁更新(CPU)中修復了該漏洞,強烈建議受影響的用戶盡快升級更新進行防護。 http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
臨時解決方案:
可通過控制T3協議的訪問來臨時阻斷針對該漏洞的攻擊。WebLogic Server提供了名為weblogic.security.net.ConnectionFilterImpl的默認連接篩選器,此連接篩選器接受所有傳入連接,可通過此連接篩選器配置規則,對t3及t3s協議進行訪問控制,詳細操作步驟如下:
1、進入Weblogic控制台,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。
2、在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:* * 7001 deny t3 t3s
3、保存后規則即可生效,無需重新啟動。
4.4.2 補丁更新
根據Weblogic版本到weblogic官網下載補丁包,各版本選擇下載地址:http://www.oracle.com/technetwork/middleware/weblogic/downloads/wls-main-097127.html
4.4.3 Weblogic降權
以weblogic 12c為例,執行如下命令:
# su - root # groupadd weblogic # useradd -g weblogic weblogic -s /bin/bash # chown -R weblogic:weblogic /tmp/wls12120 然后重新啟動服務 # su - weblogic #/tmp/wls12120/user_projects/domains/mydomain/startWebLogic.sh
最后
歡迎關注個人微信公眾號:Bypass--,每周原創一篇技術干貨。
