Confluence 6 安全概述和建议概述

这个文档是针对 Confluence 的系统管理员希望对 Confluence Web应用程序安全性进行评估而设计的。这个页面将对系统的安全进行大致的描述,同时也会对 Confluence 的安全配置提供建议。作为一个向公众开放的 Web 应用程序,Confluence 的应用程序级别的安全是非常重要的。这个页面同时也对使用我们产品的用户经常可能会问到的一些安全问题进行说明。

你可能希望参考的一些其他的主题:

应用程序安全概述

密码存储

当 Confluence 的内部用户管理被使用以后,从 Confluence 3.5 版本开始,用户的密码将会使用 PKCS5S2 implementation provided by Embedded Crowd 哈希加密算法加密后存储到数据库中。 在 Confluence 中将会没有其他机制能够获得用户的密码——除了通过密码重置的方法,一个重置密码的电子邮件链接将会发送到用户注册使用的电子邮件地址中。

当外部的用户管理被启用后,用户的密码将会存储在外部用户管理系统中。

换从区溢出

Confluence 100% 的纯 Java 应用程序而没有使用本地组件。因此应用程序对缓冲区溢出有比较强抵抗力——可能的缓冲区溢出将会被限制在 Java 运行环境(Java Runtime Environment)本身。

SQL 注入

Confluence 是通过 Hibernate Object-Relational 映射进行交互的。数据库的查询使用标准的 APIs 来生成,是使用参数进行替换的,而不是使用字符串连接的的。因此,Confluence 能够具有很高的 SQL 注入攻击抵抗性。

脚本(Script )注入

Confluence 是一个自容器的 Java 应用程序,并不能运行在外部的进程中。因此 Confluence 能够对脚本注入攻击具有很高的抵抗性。

跨站点脚本

作为一个内容管理系统,允许用户能够在系统中创建内容,并且将创建的内容发布在网络上。我们将会对跨站点脚本攻击进行更多的关注:

  • Confluence 中的 Wiki 标记语言不支持危险 HTML 标记
  • 在默认的情况下,你不能向宏中插入 原生 HTML 标记
  • HTML 作为附件上传到服务器上话,这个文件将会在下载的时候保存为 content-type 类型,而不是在浏览器中显示。
  • 只有系统管理员级别的用户才可以对应用程序进行 HTML-level 级别的自定义

当跨平台脚本安全漏洞在 Confluence 被发现后,我们将会以最快的速度对这个漏洞进行修复。

传输层安全

Confluence 并不直接支持 SSL/TLS。Confluence 的管理员如果对传输层安全性有所顾虑的话,应该考虑在 Java 应用服务器级别设置 SSL/TLS 或者在 Confluence 应用服务器前面使用 HTTP 方向代理。

有关如何在 Confluence 中配置 SSL 的信息,请参考 Running Confluence Over SSL or HTTPS 页面中的内容。

会话管理

Confluence 使用 Java 应用服务器的会话管理。在现有的情况下,我们并没有获得任何有关会话劫持针对 Confluence 的攻击。如果你现在正在将 Confluence 部署到其他的一些应用服务器上,你应该确保会话不会被劫持。

插件安全

管理员在 Confluence 安装第三方插件所带来的风险为自负风险( at their own risk)。安装的插件将会与 Confluence 在相同的虚拟机上运行,同时也能够访问所有的 Java Runtime 环境,包括 Confluence 服务器 API。

管理员在 Confluence 安装插件的时候应该对插件的来源进行校验,确保安装的插件来源。

管理员信任模型

Confluence 是基于所有具有 System Administrator privileges 都是可以被信任的。系统管理员可以直接安装插件,对 Confluence 的性能和配置进行调整。

与其他任何应用程序一样,你不应该将 Confluence 在 root/Administrator 用户权限运行。如果你希望你的 Confluence 监听私有的网络端口,你应该配置 Confluence 使用端口转移(port forwarding)或者使用反向代理,而不是给 Confluence 添加其他的权限。当你考虑让 Confluence 在 chroot 下运行的话,你需要非常小心。

堆栈跟踪

希望对 Confluence 的问题进行调试,当出现问题的时候 Confluence 将会在界面中提供错误的堆栈信息。这些堆栈的信息包括了 Confluence 在运行的时候的信息,同时还包括了有关你开发服务器的一些信息。

只有非个人信息在堆栈中显示,例如操作系统的版本和 Java 的版本。针对正确的网络设置,这些信息将会不足够对错误的问题进行诊断。用户的用户名和密码将不会显示出来。

https://www.cwiki.us/display/CONF6ZH/Confluence+Security+Overview+and+Advisories

原文地址:https://www.cnblogs.com/huyuchengus/p/9411432.html

时间: 2024-10-09 07:38:55

Confluence 6 安全概述和建议概述的相关文章

JavaWeb-web概述与Http概述

JavaWeb-web概述与Http概述 一.web概述 静态web资源:内容是静态的,不同的人在不同的时间来访问时都是相同的内容.HTML.CSS.JS组成 动态web资源:内容是由程序生成的,不同的人在不同的时间访问的内容很可能是不同的. 常见的动态web资源开发技术: ASP.PHP.JSP/Servlet 常见web类型 C/S客服端和服务端 B/S浏览器端和服务端 云.移动互联网.html5.物联网都受web的影响 二.TOMCAT服务器的安装与配置 1.常见服务器: WebLogic

Xamarin原生跨平台概述(精简概述,命中要害。PS:无图)

Xamarin原生跨平台:原生界面.原生性能.原生API(与H5比较): 1.C#可以访问Andrid.IOS原生API,也可以调用C#系统类型,如Syetem,System.IO;2.原理:基于Mono(在linux架一层Mono,.NET程序就可以运行在Liunx系统上.之前分为Mono Andriod.Mono Touch两个平台,后来由于移动端的流行和一些原因,名字就改成成了Xamarin).3.技术基础:Binding(绑定):当Andriod.IOS 版本升级后,后台通过Bindin

蓝牙核心技术概述(一):蓝牙概述

蓝牙核心技术概述(一):蓝牙概述 标签: 蓝牙bluetoothsig 2014-07-26 16:01 6143人阅读 评论(3) 收藏 举报  分类: 协议(14)  版权声明:本文为博主原创文章,未经博主允许不得转载. 关键词:蓝牙 核心技术 协议 版本 历史作者:xubin341719(欢迎转载,请注明作者,请尊重版权,谢谢)欢迎指正错误,共同学习.共同进步!!下载连接:Bluetooth PROFILE SPECIFICATIONS (基本涵盖所有蓝牙协议).buletooth cor

翻译qmake文档之 qmqke指南和概述(一)

利用空闲时间把qmke的文档翻译出来,语言水平有限,有些地放翻译的不好,请谅解,如果您能指出来,我会很感激并在第一时候做出修改. 原文连接: http://qt-project.org/doc/qt-5/qmake-manual.html http://qt-project.org/doc/qt-5/qmake-overview.html 由于qmake manual和overview  两章的内容都不多就把它们放在一起翻译了出来 qmake 指南 qmake 是帮助简化跨平台项目开发的构建过程

蓝牙核心技术概述

转:http://blog.csdn.net/xubin341719/article/details/38305331 关键词:蓝牙核心技术协议  HCI  L2CAP SDP RFCOMM 作者:xubin341719(欢迎转载,请注明作者,请尊重版权,谢谢!)欢迎指正错误,共同学习.共同进步!!下载链接:Bluetooth PROFILE SPECIFICATIONS (基本涵盖所有蓝牙协议).buletooth core 2.1-4.0 SPECIFICATION(三蓝牙版本的核心协议v2

蓝牙核心技术概述(三): 蓝牙协议规范(射频、基带链路控制、链路管理)

关键词:蓝牙核心技术协议射频基带链路控制链路管理作者:xubin341719(欢迎转载,请注明作者,请尊重版权,谢谢!)欢迎指正错误,共同学习.共同进步!!下载链接:Bluetooth PROFILE SPECIFICATIONS (基本涵盖所有蓝牙协议).buletooth core 2.1-4.0 SPECIFICATION(三蓝牙版本的核心协议v2.1\v3.0\v4.0).蓝牙核心技术与应用 马建仓 版(蓝牙协议相关初学者必读,开发者参考) 蓝牙核心技术概述(一):蓝牙概述蓝牙核心技术概

蓝牙核心技术概述(四):蓝牙协议规范(HCI、L2CAP、SDP、RFOCMM)

关键词:蓝牙核心技术协议  HCI  L2CAP SDP RFCOMM 作者:xubin341719(欢迎转载,请注明作者,请尊重版权,谢谢!)欢迎指正错误,共同学习.共同进步!!下载链接:Bluetooth PROFILE SPECIFICATIONS (基本涵盖所有蓝牙协议).buletooth core 2.1-4.0 SPECIFICATION(三蓝牙版本的核心协议v2.1\v3.0\v4.0).蓝牙核心技术与应用 马建仓 版(蓝牙协议相关初学者必读,开发者参考) 蓝牙核心技术概述(一)

JNI设计概述

1.概述 本章概述JNI的设计.必要的时候,也会给出底层技术的实现的动机.设计概述讲解了JNI特有的关键概念:JNIEnv接口指针,局部和全局引用,域和方法ID等.讲述这些技术实现动机是为了帮助读者理解JNI设计的权衡取舍.在某些时刻,我们将会讨论某些特性可能的实现方式.这样的讨论的目的不是要提出一个切实可行的实施策略,而是要阐明微妙的语义问题. 桥接不同语言的编程接口的概念并不是新鲜事物.举例来说,c语言可以调用FORTRAN或者汇编所编写的函数.同样的,编程语言的实现如Lisp和Smallt

JavaScript之DOM-9 HTML DOM(HTML DOM概述、常用HTML DOM对象、HTML表单)

一.HTML DOM 概述 HTML DOM 概述 - HTML DOM 定义了用于 HTML 的一系列标准对象,以及访问和处理 HTML 文档的标准方法 - HTML 标签对象化 - 将网页中的每个元素都看作是一个对象 常用 HTML DOM 对象 标准 DOM 与 HTML DOM - HTML 标签对象化 - createElement - appendChild - setAttribute - removeAttribute - nodeName - ... - HTML DOM 提供