本文主要分为三部分：第一部分介绍了Apache,IIS,Tomcat的安全配置和日志格式；第二部分介绍了WebLogic,WebSphere和JbossJava中间件的安全配置和日志格式；第三部分介绍了上述六种常见的漏洞和修复方法。

0x01Apache

阿帕奇最初是由伊利诺伊大学香槟分校国家超级计算机应用中心(NCSA)开发的。此后，ApacheHttpd不断得到开源社区成员的发展和加强，自20世纪90年代以来，其市场份额已经超过50%。目前，尽管其使用率有所下降，但它仍然是世界上第一款网络服务器软件。它可以在几乎所有广泛使用的计算机平台上运行。由于其跨平台性和安全性，它被广泛使用，是目前最流行的网络服务器软件之一。Apache本身安全性很高，但人为错误设置会导致Apache的安全性。

苹果服务器安全设置。

服务器运行权限。

默认情况下，Apache在Linux中被赋予www-data帐户，并执行命令:lsof-i:80。

或：psaux|grepapache|grep-vgrep。

可见第一行是Apache主流程，使用root权限运行。由于Apache的Web端口为80或443，在Linux中打开小于1024的端口需要root权限，因此主流程必须使用root权限运行。Apache子流程始于第二行，其执行用户为www-data，是在Ubuntu中执行Web服务的默认用户，其权限较低。举例来说，当我们使用shell.php进行添加文件测试时，由于权限问题，它会失败。

如果你是高特权用户，你可以试着把它改成低特权用户。Apache运行用户的配置信息可以在/etc/apache2/apache2.conf文件中看到，提示在/etc/apache2/envars文件中设置用户和用户组。

然后设置在/etc/apache2/envars文件中。

管理员权限是Apache在Windows中安装后的默认权限。如果使用此权限运行网络服务，攻击者一旦赢得网络服务，就很容易控制整个服务器。比如在windowsserver2003中，使用phpStudy设置测试环境，用菜刀连接马，直接是管理员权限。

您可以随意添加帐户。

那么您应该为Apache降权或设置一个安全的执行帐户。第一，按照下列步骤创建普通用户。

然后，将Apache的用户组改为客户，并注意将Apache目录中日志的可写权限分配给客户账户。

接着打开Apache服务属性中的登录标签，点击此帐号，写入刚添加的用户名和密码。

最终重新启动服务，这是windows下的Apache权限，然后在菜刀中查看命令执行结果。

可见，由于权限问题，高风险的系统命令不能再执行，增加了攻击者的攻击成本。

目录和文件权限。

默认情况下，Apache将在没有默认文件(如index.html)的情况下列出当前目录。

它的权限设置在Apache配置文件httpd.conf中。

选项后面的两个参数决定了/var/www的操作。

索引:符号连接可以于此目录。

FollowSymLinks:允许浏览目录。当客户只指定要访问的目录，没有指定要访问目录中的哪个文件，目录中没有默认文件时，Apache会以超文本的形式返回目录中的文件和子目录列表(虚拟目录不会出现在目录列表中)。

索引决定了目录可以被列出。从漏洞的角度来看，这是目录的漏洞。您可以通过操作这个参数来控制权限。以下方式修改配置文件。