【中間件安全】Weblogic 安全加固規範

1. 適用狀況

適用於使用Weblogic進行部署的Web網站。

2. 技能要求

熟悉Weblogic安裝部署，熟悉Weblogic常見漏洞利用方式，並能針對站點使用Weblogic進行安全加固。

3. 前置條件

一、根據站點開放端口，進程ID，確認站點採用Weblogic進行部署；
二、找到Weblogic站點位置

4. 詳細操做

4.1 控制檯用戶設置

一、用戶弱口令修改

 

二、用戶帳號鎖定設置

 

三、設置密碼策略

安全領域>myrealm>提供程序>口令驗證> SystemPasswordValidator>提供程序特定>配置策略

 

4.2 日誌配置

默認狀況下, HTTP 日誌記錄處於啓用狀態，日誌默認在base_domain\servers\AdminServer\logs目錄，其中access.log是安裝在該server之上的應用的的http訪問日誌。

一、在Weblogic管理後臺，找到環境—服務器，而後鎖定並編輯，點擊服務名稱進入設置頁面：

 

二、選擇日誌記錄--HTTP

4.3 最佳經驗實踐

4.3.1 更改默認運行端口

依次點擊環境>服務器>Adminservers(管理)>通常信息，更改監聽端口7001爲其餘端口：

4.3.2 禁用Send Server Header

依次點擊環境>服務器>Adminservers(管理)>協議>http 

檢查是否勾選Send Server header 

4.3.3 禁用X-Powered-By Header

依次點擊base_domain>web應用程序，

在X-Powered-By 標頭修改成「將不發送X-Powered-By Header」

4.3.4 限制應用服務器Socket數量

依次點擊環境>服務器>Adminservers(管理)>配置>優化

4.4 風險操做項

Weblogic歷史漏洞展現：

4.4.1 CVE-2018-2628臨時解決方案

CVE-2018-2628解決方案：

Oracle WebLogic反序列化漏洞CVE-2018-2628 官方補丁 ，Oracle官方已經在關鍵補丁更新（CPU）中修復了該漏洞，強烈建議受影響的用戶儘快升級更新進行防禦。 http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

臨時解決方案：

可經過控制T3協議的訪問來臨時阻斷針對該漏洞的攻擊。WebLogic Server提供了名爲weblogic.security.net.ConnectionFilterImpl的默認鏈接篩選器，此鏈接篩選器接受全部傳入鏈接，可經過此鏈接篩選器配置規則，對t3及t3s協議進行訪問控制，詳細操做步驟以下：

一、進入Weblogic控制檯，在base_domain的配置頁面中，進入「安全」選項卡頁面，點擊「篩選器」，進入鏈接篩選器配置。

 

二、在鏈接篩選器中輸入：weblogic.security.net.ConnectionFilterImpl，在鏈接篩選器規則中輸入：* * 7001 deny t3 t3s

三、保存後規則便可生效，無需從新啓動。

 

4.4.2 補丁更新

根據Weblogic版本到weblogic官網下載補丁包，各版本選擇下載地址：http://www.oracle.com/technetwork/middleware/weblogic/downloads/wls-main-097127.html 

4.4.3 Weblogic降權

以weblogic 12c爲例，執行以下命令：

# su - root
# groupadd weblogic
# useradd -g weblogic weblogic -s /bin/bash
# chown -R weblogic:weblogic /tmp/wls12120
而後從新啓動服務
# su - weblogic
#/tmp/wls12120/user_projects/domains/mydomain/startWebLogic.sh

最後

歡迎關注我的微信公衆號：Bypass--，每週原創一篇技術乾貨。