Ubuntu环境下JSP应用安全审计的实施方法
/var/www/html/或Tomcat的webapps/),查找24小时内被修改的JSP文件(find ./ -mtime 0 -name "*.jsp"),重点关注新增或修改的文件(如index_bak.jsp这类可疑备份文件)。通过stat命令查看文件的创建、修改时间,判断是否与正常运维操作冲突。777)的JSP文件(find /path/to/jsp -perm 4777 -name "*.jsp"),此类文件可能被攻击者植入恶意代码,需立即调整权限或删除。.开头的隐藏文件(find /path/to/jsp -name ".*.jsp"),隐藏文件常用于隐藏WebShell或恶意脚本,需逐一检查内容。localhost_access_log(路径如/opt/tomcat/logs/),通过IP地址、访问时间和URL路径定位可疑操作。例如,搜索.jsp文件的访问记录(grep "\.jsp" access_log),找出非正常用户的访问(如频繁访问cmd.jsp、upload.jsp等敏感路径)。/var/log/auth.log(认证日志)和/var/log/syslog(系统日志),查看是否有异常登录(如sudo滥用)、进程创建(如java进程异常启动)或文件变动(如/tmp目录下突然出现的JSP文件),关联Web访问日志定位攻击源头。<%execute(request.getParameter("cmd"))%>)或大马程序。扫描结果需结合文件修改时间和访问日志进一步确认。LinuxCheck工具,自动检查系统中的JSP WebShell、异常进程和系统配置漏洞。工具会输出详细的审计报告,帮助快速定位风险点。/etc/audit/audit.rules文件,添加针对JSP文件的审计规则(如-a exit,always -F arch=b64 -F uid=48 -S execve -k jsp_exec),记录所有执行JSP文件的系统调用。通过ausearch命令查询日志,追踪JSP文件的执行过程(如谁、何时执行了哪个JSP文件)。webapps目录下的默认应用(如ROOT、examples);② 是否隐藏了Tomcat版本信息(在server.xml的Connector节点添加server="Apache");③ 是否关闭了自动部署(autoDeploy="false"、unpackWARs="false");④ 是否启用了HTTPS(配置SSL证书,强制跳转HTTPS);⑤ 是否设置了Cookie的HttpOnly和Secure属性(在context.xml中配置)。tomcat)启动,应用部署目录(如webapps)的所有者和组为非特权用户(如tomcat:tomcat),避免应用以高权限运行。检查tomcat-users.xml是否删除了默认的管理员账号(如admin),或限制了远程部署权限。request.getParameter()获取的参数是否进行了过滤)、SQL语句拼接(是否使用预编译语句PreparedStatement)、会话管理(会话ID是否随机生成、超时时间是否合理)等环节,防止SQL注入、XSS等漏洞。mvn dependency:tree(Maven项目)或gradle dependencies(Gradle项目)查看JSP应用的依赖库,检查是否存在已知漏洞的组件(如旧版本的commons-fileupload、struts2)。通过CVE数据库(如NVD)查询漏洞信息,及时升级到安全版本。
