我通读了 JBoss EAP 7 的标准指南。它告诉如何保护端口,增加JVM选项,但没有具体说明如何计算和存档特定的测量值。参考 Apache 实践,如果需要,我该怎么办
- 隐藏 JBoss 版本号和其他敏感信息
- 确保 JBoss 在自己的用户帐户和组下运行
- 确保未提供 Web 应用根文件夹之外的文件 关闭
- 目录浏览 关闭服务器端包含
- 关闭 CGI 执行
- 不允许 JBoss 跟随符号链接
- 关闭多个选项
- 关闭对 .htaccess 文件的支持
- 降低超时值
- 限制大型请求
- 限制 XML 正文的大小
- 禁用跟踪 HTTP 请求
- 仅使用 TLS、禁用 SSLv2、SSLv3
- 默认情况下不打开 80 端口(仅使用 SSL)
- 修改 Web 应用程序以设置所有 Cookie 的 HttpOnly 属性
- 支持同时连接处理到400,最大连接超过3000
- 防止 当不受信任的数据作为命令或查询的一部分发送到解释器时,会发生注入缺陷,例如 SQL、OS 和 LDAP 注入。攻击者的恶意数据可以诱使解释器执行意外命令或在未经适当授权的情况下访问数据。
- 防止攻击者泄露密码、密钥或会话令牌,或利用其他实现缺陷来冒充其他用户的身份。
- 防止每当应用程序获取不受信任的数据并将其发送到 Web 浏览器而未进行适当的验证或转义时,就会出现 XSS 缺陷。XSS 允许攻击者在受害者的浏览器中执行脚本,这些脚本可以劫持用户会话、破坏网站或将用户重定向到恶意站点。
- 防止不安全的直接对象引用。
- 防止 CSRF 攻击强制登录的受害者浏览器向易受攻击的 Web 应用程序发送伪造的 HTTP 请求,包括受害者的会话 cookie 和任何其他自动包含的身份验证信息。这允许攻击者强制受害者的浏览器生成易受攻击的应用程序认为是受害者的合法请求的请求。
一个问题中有太多子问题。回答第一个:
要删除
X-Powered-By: Undertow/1 X-Powered-By: JSP/2.3 Server: JBoss-EAP/7
执行以下命令行命令:
/subsystem=undertow/server=default-server/host=default-host/filter-ref=x-powered-by-header:remove/subsystem=undertow/server=default-server/host=default-host/filter-ref=server-header:remove/subsystem=undertow/servlet-container=default/setting=jsp:write-attribute(name=x-powered-by,value=false)