【泛微】安全开启详情记录

官方是有文档的~泛微系统本身也有对应的页面。

• /security/monitor/Monitor.jsp

好记性不如烂笔头，开搞~

是否开启了安全防火墙

• 检查WEB-INF/weaver_security_config.xml中的status是否为1
• 添加或者修改WEB-INF/weaver_security_config.xml中的<status>为1
  • <status>1</status>

是否开启了登录保护

• 检查WEB-INF/weaver_security_config.xml中的is-login-check是否为true
• 添加或者修改WEB-INF/weaver_security_config.xml中的<is-login-check>为true
  • <is-login-check>true</is-login-check>

是否开启了数据库保护

• 检查WEB-INF/weaver_security_config.xml中的skip-rule是否为false
• 添加或者修改WEB-INF/weaver_security_config.xml中的<skip-rule>为false
  • <skip-rule>false</skip-rule>

是否开启了ESAPI提供的数据库保护功能

• 检查WEB-INF/weaver_security_config.xml中的esapi-sql是否为true
• 添加或者修改WEB-INF/weaver_security_config.xml中的<esapi-sql>为true
  • <esapi-sql>true</esapi-sql>

是否开启了页面保护

• 检查WEB-INF/weaver_security_config.xml中的must-xss是否为true
• 添加或者修改WEB-INF/weaver_security_config.xml中的<must-xss>为true
  • <must-xss>true</must-xss>

是否配置了500错误页面

• 检查WEB-INF/weaver_security_config.xml中的sys-debug是否为false
• 添加或者修改WEB-INF/weaver_security_config.xml中的<sys-debug>为false
  • <sys-debug>false</sys-debug>

是否开启了cookie过期功能

• 检查WEB-INF/weaver_security_config.xml中的is-reset-cookie是否为true
• 添加或者修改WEB-INF/weaver_security_config.xml中的<is-reset-cookie>为true
  • <is-reset-cookie>true</is-reset-cookie>

是否开启了cookie的httpOnly功能

• 检查WEB-INF/weaver_security_config.xml中的httponly是否为true
• 添加或者修改WEB-INF/weaver_security_config.xml中的<httponly>为true
  • <httponly>true</httponly>

是否开启了防host伪造功能（防钓鱼功能）

• 检查WEB-INF/weaver_security_config.xml中的skip-host是否为false
• 需修改配置文件手动启用
• 添加或者修改WEB-INF/weaver_security_config.xml中的<skip-host>为false
  • <skip-host>false</skip-host>
• 开启了该项功能后，需要配置服务器允许的所有访问方式，包括服务器内网地址、外网地址、域名、代理服务器地址到配置文件中，具体方法如下：
  • 添加IP到指定列表的方式如下，修改WEB-INF/securityXML/weaver_security_customer_rules_1.xml文件，添加以下代码

    • <host-list>
      <host>test.genomics.cn</host>
      <host>test.genomics.cn:80</host>
      </host-list>

    • 其中<host>就是服务器允许的访问方式，包括内网地址、外网地址、域名、代理服务器地址，可以配置多个<host节点；

是否开启了防跨站请求攻击功能

• 检查WEB-INF/weaver_security_config.xml中的skip-ref是否为false
• 添加或者修改WEB-INF/weaver_security_config.xml中的<skip-ref>为false
  • <skip-ref>false</skip-ref>

是否开启了WEBSERVICE限制IP访问功能

• 检查WEB-INF/weaver_security_config.xml中的enable-service-check是否为true
• 添加或者修改WEB-INF/weaver_security_config.xml中的<enable-service-check>为true
  • <enable-service-check>true</enable-service-check>
• 开启了该项功能后，需要配置允许调用webservice的所有IP地址或者网段（默认包含了内网网段可以访问调用）到配置文件中，具体方法如下：
  • 添加IP到指定列表的方式如下，修改WEB-INF/securityXML/weaver_security_customer_rules_1.xml文件，添加以下代码

    • <webservice-ip-list>
      <ip>80.123.40.12</ip>
      <ip>192.168.</ip>
      </webservice-ip-list>

    • 其中<ip>就是允许调用webservice的IP地址，可以是一个网段，也可以是一个完整的IP地址，可以配置多个<ip>节点；

是否开启了防HTTP拆分响应漏洞功能

• 检查WEB-INF/weaver_security_config.xml中的http-sep是否为true
• 添加或者修改WEB-INF/weaver_security_config.xml中的<http-sep>为true
  • <http-sep>true</http-sep>

是否开启了系统超时功能

• 检查WEB-INF/weaver_security_config.xml中的is-check-session-timeout是否为true
• 添加或者修改WEB-INF/weaver_security_config.xml中的<is-check-session-timeout>为true
  • <is-check-session-timeout>true</is-check-session-timeout>
• 超时时间配置方法：
  • 添加或者修改WEB-INF/weaver_security_config.xml中的<session-timeout>为指定时间（单位为分钟，默认为30分钟）
  • <session-timeout>30</session-timeout>

是否开启了log文件、数据库连接访问权限控制的功能

• 默认开启，不可关闭。可以添加指定的资源到控制列表中。
• 添加资源到指定列表的方式如下，修改WEB-INF/securityXML/weaver_security_customer_rules_1.xml文件，添加以下代码

  • <forbidden-url>
    <allow-users>
    <user>sysadmin</user>
    </allow-users>
    <urls>
    <url>^/{1,}log/.*</url>
    <url>^/{1,}admin$</url>
    </urls>
    </forbidden-url>

  • 其中<user>配置可以访问这些资源的用户账号，可以配置多个<user节点；
  • <url>节点是配置受控的URL链接地址，可以是URL的一段，也可以是一个完整的URL，也可以使用正则表达式。

是否开启了安全包更新自动提醒功能

• 检查WEB-INF/weaver_security_config.xml中的auto-remind是否为true
• 添加或者修改WEB-INF/weaver_security_config.xml中的<auto-remind>为true
  • <auto-remind>true</auto-remind>
• 注：只有服务器具备访问https://update.e-cology.cn/时该功能才能生效