ecology系統(tǒng)安全配置說(shuō)明_第1頁(yè)
ecology系統(tǒng)安全配置說(shuō)明_第2頁(yè)
ecology系統(tǒng)安全配置說(shuō)明_第3頁(yè)
ecology系統(tǒng)安全配置說(shuō)明_第4頁(yè)
ecology系統(tǒng)安全配置說(shuō)明_第5頁(yè)
已閱讀5頁(yè),還剩8頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

SubmittedByWeaverWeaver浦 支路39弄9號(hào)泛微軟:+86傳真:+865增加xss6增加log日志權(quán)限控78增加httponly引 編寫(xiě)目 修復(fù)的情況說(shuō) xss過(guò)濾字符說(shuō) SQL注入過(guò)濾規(guī)則說(shuō) 配置詳細(xì)說(shuō) 配置系統(tǒng)安全補(bǔ)丁 系統(tǒng)安全規(guī)則庫(kù)文件配置說(shuō) 其他事 本文檔主要描述了Ecology1、解決XSS跨域2、解決高級(jí)SQL注入3、防范風(fēng)險(xiǎn)4、Host5、referer6、webservice白機(jī)制7 的httponly機(jī)制xss目前,xss如果檢查到存在SQL注入風(fēng)險(xiǎn),則直接,并給出提示信息 注:如果客戶啟用了單點(diǎn)登錄(CAS)登錄,filterCASfilter之后,避免2、請(qǐng)將 xmlEditplus、Ultra等status:是否開(kāi)啟安全must-xssxsstrue時(shí)執(zhí)行xssxss-type:執(zhí)行xss的方式:0表示按照xss-keyword-list關(guān)鍵字及xss-list白過(guò)濾;1表xss過(guò)濾。skip-ruleSQLtruemin-lengthSQLxsswebservice-ip-listwebservice-list節(jié)點(diǎn)。httponly:配置是否啟用httponly安全機(jī)制weaver_security_custom_rules_1.xml,如果客戶需要單獨(dú)添加一些規(guī)則,可以將weaver_security_rules.xmlsecurityXMLweaver_security_custom_rules_1.xmlroot節(jié)點(diǎn)內(nèi)的所有內(nèi)容清空,然后添加自己的weaver_security_rules.xml一樣,但無(wú)須完整節(jié)點(diǎn),需要哪些就配置哪些。4、日志文件(按天存放開(kāi)啟功能status10sql480sql30配置文件:WEB-INFE8GBKE8E7E6UTF-8E7配置示例pathencodingURL。URLexcepts該配置主要用于配置某些特定的URL僅允許部分用戶允許,防止信息。如log日志文件權(quán)限控制。allow-users:配置允許的用戶loginId,需要配置多個(gè)用戶則配置多個(gè)<user>節(jié)點(diǎn)即可。urls:配置只能是allow-users中配置的用戶才能的URL,若需配置多個(gè)URL則配置多refererref白(ref-skip-reffalsereferer該值設(shè)置是否將設(shè)置為httponly模式,默認(rèn)為true。啟用當(dāng)啟用httponly時(shí),該處配置哪些需配置為httponly模式key:的path:的路如果需要配置多個(gè)為httponly模式,那么就配置多個(gè)節(jié)點(diǎn)即可該值設(shè)置是否跳過(guò)host頭部檢查,取值為true的false。默認(rèn)為true,即查host 合法的hostheader列表。這里需要配置Ecology服務(wù)器內(nèi)IP、(如果是80端口,配置需要進(jìn)行URL檢查的參數(shù),防范。該項(xiàng)需要skip-host設(shè)置為false才生效。其的地址必須是host-list中允許的地址。1webservice配置文件:WEB-INFtruewebservicewebservicewebservice-ip-listwebservice2webservice白webservice代表一個(gè)或多個(gè)webservice請(qǐng)求地址,使用正則表達(dá)式配置,可以有多個(gè)3webservice<ip>節(jié)點(diǎn)配置允許系統(tǒng)的webserviceip地址,可以配置多個(gè)節(jié)點(diǎn)配置文件:WEB-INF/weaver_security_config.xmlfalse時(shí),xss相關(guān)參數(shù)不生效。xssxss-filter-listSQL注入相配置文件:WEB-INF/weaver_security_config.xml該值確定是否跳過(guò)SQL注入檢查,取值false|true,默認(rèn)為false,開(kāi)啟SQL注入檢查。trueSQLfalse時(shí),其他參數(shù)才有效。通用規(guī)則列表。多個(gè)rule間or關(guān)系,只要有一條符合,則該參數(shù)存在SQL注入風(fēng)險(xiǎn),ruleAndruleSQLspecial-non中配

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論