Weblogic 安全加固 ----渗透测试
1、以低权限用户运行weblogic
以weblogic 12c为例,执行如下命令: # su - root # groupadd weblogic # useradd -g weblogic weblogic -s /bin/bash # chown -R weblogic:weblogic /tmp/wls12120 然后重新启动服务 # su - weblogic # /tmp/wls12120/user_projects/domains/mydomain/startWebLogic.sh
2、限制用户尝试登陆次数
选择左侧导航栏中的“安全领域”,选择右侧领域名称,再选择“用户封锁”,根据自身需求设置参数:
设置完成后无需重启,测试效果如图:
3、更改控制台目录名
更改高级选项中的“控制台上下文路径”为一个特异的名字,以达到隐蔽的效果,修改后需重启生效。
当然,也可以直接取消掉“启用控制台”,这样就完全不能使用console了。
4. 删除内置应用
停止Weblogic应用,根据需要删除下列位置的对应名称的文件或目录,然后重启服务:
WAR 包: %WEBLOGIC_HOME%/wlserver/server/lib/*.war %WEBLOGIC_HOME%/***domain/servers/***server/tmp/.internal/*.war 工作目录: %WEBLOGIC_HOME%/***domain/servers/***server/tmp/_WL_internal/* 注意:**domain 是在安装weblogic时由运维人员定义的名称,需根据实际情况确定
例如,要删除 uddiexplorer 解决 UDDI Explorer SSRF 漏洞(CVE-2014-4241)需要删除下列文件/目录:
%WEBLOGIC_HOME%/wlserver/server/lib/uddiexplorer.war
%WEBLOGIC_HOME%/***domain/servers/***server/tmp/.internal/uddiexplorer.war
%WEBLOGIC_HOME%/***domain/servers/***server/tmp/_WL_internal/uddiexplorer(目录)
注意:所有bea和wls开头的war包都不能删除,删除后weblogic将无法启动。
5. 启用管理端口
通常,为了管理方便,控制台无法直接取消,这时可以通过启用管理端口来进行加固。
启用管理端口后,管理控制台就不能通过应用端口来访问了,而是使用指定的管理端口,这样有利于在实际应用中基于端口设置访问控制策略,限制非法用户对管理控制台的访问。
开启管理端口后,需要使用https协议访问管理控制台。例如:
https://x.x.x.x:9002/console/
方法一:通过管理控制台配置:
登录管理控制台,在左侧边栏的”域结构”中点击“****domain”(创建的域),点击标签栏“配置一般信息”,勾选“启用管理端口”,单击页面底部的“保存”按钮。
完成后,点击左侧边栏顶部的“激活更改”按钮即可。
方法二:通过配置文件来配置:
修改所创建域下的config/config.xml文件,在文件的configuration-version参数前插入如下配置(如果已有相关配置请直接修改参数对应的值):
<!--管理端口开关//--> <administration-port-enabled>true</administration-port-enabled> <!--管理端口号,默认9002--> <administration-port>9002</administration-port>
配置完成后,需要重启Weblogic。
