Tomcat--启动了不安全的HTTP方法解决办法

最新推荐文章于 2024-07-30 13:40:59 发布
最新推荐文章于 2024-07-30 13:40:59 发布
阅读量1.2w 收藏 9
点赞数 2
分类专栏: 03丨服务器 文章标签: web漏洞 不安全的HTTP方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JustinQin/article/details/78567933
版权

一、问题描述

平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。

二、解决办法

把他们关闭即可!!!

添加以下节点代码到web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加,也可以在tomcat/conf/web.xml中添加

<!-- close insecure http methods -->
<security-constraint>
    <web-resource-collection>
        <web-resource-name>fortune</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>HEAD</http-method>
        <http-method>OPTIONS</http-method>
        <http-method>TRACE</http-method>
    </web-resource-collection>
    <auth-constraint></auth-constraint>
</security-constraint>
吾日三省贾斯汀
关注
专栏目录
启用了不安全http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
Tomcat启动了不安全HTTP方法解决办法
liangpingguo的博客
10-27 3489
一、漏洞描述: 目标服务器启用了不安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。
鉴源实验室·HTTP协议网络安全攻击
最新发布
TICPSH的博客
07-30 942
同时,也是一种客户端-服务端(client-server)协议,也就是说,请求是由接收方—通常是浏览器发起的,客户端与服务端之间通过交换一个个独立的消息(而非数据流)进行通信。这种类型的攻击更多是面向连接层面,以基于线程的Web服务器为目标,通过慢速请求来捆绑每个服务器线程,从而消耗服务器的线程&连接资源。当用受害者被引诱点击一个恶意链接,提交一个伪造的表单,恶意代码便会和正常返回数据一起作为响应发送到受害者的浏览器,从而骗过了浏览器,使之误以为恶意脚本来自于可信的服务器,以至于让恶意脚本得以执行。
启用了不安全HTTP方法
u013673367的专栏
08-20 2037
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
启用危险Method
曉儂
09-06 3452
漏洞名称: 启用危险Method 描述: 目标WEB服务器启用了TRACE Method。 1.TRACE_MethodHTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本(简称XSS)攻击,这种攻击方式又称为跨站跟踪攻击(简称XST)。 危害: 1. 恶意...
启用了不安全http请求方法 OPTIONS
星语惜馨的博客
10-22 5844
tomcat配置: 在tomcatweb.xml中添加如下的代码后重启tomcat,注意添加后只对tomcat下的目录有效。参照所需禁用的http方法添加。 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
tomcat启动,访问http://localhost:8080时报http status 404
热门推荐
吾日三省的专栏
04-05 2万+
即:The requested resource (/) is not available.   什么原因? 如何解决?   原因是路径不对 配置tomcat时: 如果只想运行Eclipse工作空间的应用项目,可以选择“Use workspace metadata”; 反之如果希望同时运行其他Eclipse工作空间之外的应用项目,就可以选择“Use Tomcat installat
服务器默认开启Trace Method的潜在风险及解决方法
Mr.Bean
09-18 5369
Trace Method 的潜在风险及解决方法 结论 先贴结论,虽然官方声称该功能并无安全问题,然而禁用Trace带来的负面影响微乎其微,同时Appache官方也在1.3.34 和2.0.55加入了TraceEnable Off来简单的关闭该功能。故建议关闭该功能以防潜在风险。 顺带一提如果你的服务器没有用Appache服务器,如jetty的话,你可以搜索jetty Trace Method 来看...
Eclipse启动Tomcat后无法访问项目解决办法
09-30
解决Eclipse启动Tomcat后无法访问项目的方法如下: 1. **修改Server Path**: - 在Eclipse中,打开`Servers`视图,找到你的Tomcat服务器实例,然后双击它。 - 在打开的配置界面中,选择"Use Tomcat installation ...
eclipse启动tomcat无法访问的解决方法
09-04
解决办法: 1. 首先,需要重新配置Eclipse中的Tomcat服务器。在Eclipse的Servers视图中,找到并双击Tomcat服务器,打开服务器配置页面。 2. 你会注意到一个选项“Use workspace metadata (does not modify Tomcat ...
tomcat无法启动 报错问题和解决办法
qq_46083563的博客
09-23 618
tomcat启动报错,dubuge启动报错Unable to open debugger port(127.0.0.1:60157):java.net.SocketException"socket closed
JavaWeb---Tomcat---Servlet
weixin_45467873的博客
03-04 526
JavaWeb 1、基本概念 静态网页无法与人工交互 动态网页可以人工交互 技术栈:Servlet、JSP、PHP 简介:在Java中,动态web资源开发的技术统称为JavaWeb. 2、web应用 web应用程序“可以提供浏览器访问的程序。 注意:网上可以访问的资源,都是储存在摸个计算机(服务器)上。通过URL(地址)去访问这个地址。 这个统一的web资源会被放置在同一个文件夹上,web应用程序–>Tomcat(服务器),将web应用部署在服务器上。 web应用程序编写完毕后,若想提供给外界访问:需
web服务器启用了不安全HTTP方法(转)
傲慢的上校的专栏
11-17 824
web 安全安全HTTP方法
若依(不分离版)启用危险Method (TRACE)
rckliaoming的博客
06-22 157
最近被扫描出来的第二个问题,启用危险Method (TRACE) ,A5 安全配置错误,搜索了一些文章,发现主要是服务器未禁用这些方法的调用,那么我们就从系统出发,再系统层面解决,参考的文章是。我是直接在启动类里面设置的。打印日志即可看出效果。
漏洞:不安全http请求方法tomcat 禁用http method。代码解决
12-16 2686
问题描述:通过fiddler,使用raw重现HTTP请求,修改GET为TRACE重新请求。tomcat返回405,head 包含 Allow:POST,GET,DELETE,OPTIONS,PUT,HEAD 解决方法:使用filter进行过滤和处理。 1.修改tomcat的server.xml,允许trace方法:&lt;Connector allowTrace="true"   2...
启用了不安全的“OPTIONS”HTTP方法 - OPTIONS *
akaiyijian001的博客
05-04 1864
方法,该方法被认为是危险的,部分漏扫工具会认为其用了WebDAV。通过源码debug,tomcat会对。通过构造请求进行源码debug。请求时,响应报文请求头。进行特殊处理,该实现在。
禁止tomcat安全HTTP请求方法并屏蔽tomcat默认的报错信息
06-03 4445
Tomcat版本 8.0.15 1、禁止tomcat安全HTTP请求方法 在 ./conf/web.xml 中 第一步:将<web-app>协议替换为:【此处协议有可能不需要替换】 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" x.
小记一次网站应用漏洞扫描--启动了不安全HTTP方法(Insecure HTTP Method)及其解决方案
小菜鸟的HelloWorld
01-05 2766
漏洞编号:c*********031834878bbfe891144574 漏洞等级:中危 漏洞状态:未修复 发现时间 : 2018/01/04 21:00:43 GMT+08:00 漏洞类型:不安全方法 所属域名:*******.cn URL:http://*********** 漏洞简介 攻击者可以使用OPTIONS和Trace方法来枚举服务
禁用WebDAV-tomcat
xm_koma的专栏
07-20 817
     由于要处理一份关于公司的一个公众用户网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法的禁用。       WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一...
私有云迁移实践:Docker与Tomcat问题解析及解决方案
解决办法是在应用的安全组中开通12200-12220的端口范围。 - **启动失败**:版本更新后,部分节点无法自动启动,需要手动重启,这是由于EDAS的bug。问题由EDAS开发团队后台修复。 **Tomcat篇** 1. **HTTPS重定向...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾日三省贾斯汀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值