关闭不安全的HTTP方法

最新推荐文章于 2023-09-04 04:20:56 发布
最新推荐文章于 2023-09-04 04:20:56 发布
阅读量1.2w 收藏 3
点赞数
文章标签: 安全 Tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lisq037/article/details/9698897
版权

在项目或tomcat下的web.xml中,添加如下配置:


<!-- 关闭不安全的HTTP方法   -->
	<security-constraint>
        <web-resource-collection>
                <web-resource-name>任意名称</web-resource-name>
                <url-pattern>/*</url-pattern>
                <http-method>PUT</http-method>
                <http-method>DELETE</http-method>
                <http-method>HEAD</http-method>
                <http-method>OPTIONS</http-method>
                <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint></auth-constraint>
	</security-constraint>
	<login-config>
	        <auth-method>BASIC</auth-method>
	</login-config>

http方法说明:



deniroo
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何关闭http Methods中的Trace 提高安全意识
01-20
使用Nikto测试服务器,发现HTTP开启了trace方法。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 ...
WEB漏洞-关闭安全HTTP方法
踮脚敲代码
12-19 6179
一.测试过程 通过手工测试,站点启动了不安全HTTP方法漏洞,详细测试如下: OPTIONS /main/login HTTP/1.1 Host: xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language
安全HTTP方法
最新发布
hcufo的博客
09-04 943
web渗透的小知识点
如何禁用不安全http 关闭不需要的HTTP方法
主机吧的博客
02-23 1万+
在使用http的时候,有一些是不安全不需要开启的,如何禁用不安全http呢?关闭不需要的HTTP用什么方法?下面云加速来给大家讲解下: windows 2008-2012: 请在wwwroot目录建立web.config,内容如下,如果文件已经存在,请添加红色部分
处理weblogic、tomcat关闭安全http请求
Linuxprobe18的博客
08-24 1555
导读 不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 禁止不安全http请求方式PUT、DELETE、HEAD、OPTIONS、TRACE等,只保留GET和POST请求。其中tomcat和weblogic部署解决方案都是在web.xml中添加配置文件,但格式有所差异,详情如下: Tom
web安全tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的...
在VMware+centOS 8上基于http协议搭建Git服务的方法
01-09
windows10家庭中文版(1903) VMware 15Pro(15.5.0 build-14665864) centOS 8(1905已关闭GUI,VMware采用NAT模式) 三.准备工作 (一)windows防火墙开放80端口控制面板 -> 系统和安全 -> Windows Defender ...
安全快速修改Mysql数据库名的5种方法
12-15
2.如果所有表都是MyISAM类型的话,可以改文件夹的名字关闭mysqld把data目录中的db_name目录重命名为new_db_name开启mysqld 3.重命名所有的表 代码如下:CREATE DATABASE new_db_name;RENAME TABLE d
Apache常用虚拟主机配置方法解析
01-08
本机windows浏览器测试虚拟机ip地址(一定要关闭防火墙),看到以下界面代表启动http成功。 2、apache2配置文件 安装好httpd后会自动生成/etc/httpd目录 主要配置文件:conf/httpd.conf 3、基于IP地址(服务器需要多...
各中间件禁用不安全HTTP方法
02-10
各中间件禁用不安全HTTP方法安全加固方法学习方法参考。
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
禁用不安全http方法
热门推荐
qq_31225293的博客
02-27 1万+
上线很久的项目,后面用curl测出了一个漏洞,不安全http方法 在网上搜索了很多都是一种解决办法,但是我这边都不行,现在我来说说我的解决办法首先解决OPTIONS的:修改自己应用的web.xml,添加如下配置:&lt;security-constraint&gt;         &lt;web-resource-collection&gt;              &lt;url-patt...
HTTP Methods 测试
吕小小布的博客
09-27 1084
翻译 摘要 HTTP提供了许多方法,可用于在Web服务器上执行操作。这些方法中的许多方法旨在帮助开发人员部署和测试HTTP应用程序。如果Web服务器配置错误,则这些HTTP方法可用于恶意目的。此外,还检查了跨站点跟踪(XST)(一种使用服务器的HTTP TRACE方法的跨站点脚本编写形式)。 尽管GET和POST是迄今为止用于访问Web服务器提供的信息的最常用方法,但是超文本传输​​协议(H...
jetty禁用http put和delete等方法的方式
shuipinglp的专栏
10-30 2065
1. 基于xml的配置方式 <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>...
安全漏洞:后端禁用不安全http方法
阿强的博客
04-26 1395
漏洞描述: Web服务器默认情况下开放了一些不必要的http方法,如DELETE、PUT、TRACE、MOVE等,很可能会在Web服务器上上传、修改或者删除Web页面、脚本和文件。使系统容易受到攻击。 解决方案: 禁用不必要的HTTP方法,修改应用程序的Web.xml,在文件中添加如下代码: <security-constraint> <web-resource-colle...
禁用不安全http方式-转载
johnny_niu的博客
12-23 1040
网上搜了好多禁用http请求的方法,都是介绍tomcat容器下的相关配置,但是把web项目放到weblogic容器下会报错,无论如何也启动不起来,费了一番功夫找到一篇文章,问题解决 初次使用Weblogic,因为之前是在Jboss或tomcat上部署的工程,运行正常,但是在weblogic上安装部署的时候,就出现了一个常见的问题:如下 <2014-1-7 下午02时43分15秒 CST> <Error> <J2EE> <BEA-160197> <Unab
HTTP Method详细解读(`GET` `HEAD` `POST` `OPTIONS` `PUT` `DELETE` `TRACE` `CONNECT`)
weixin_30265103的博客
08-20 322
前言 HTTP Method的历史: HTTP 0.9 这个版本只有GET方法 HTTP 1.0 这个版本有GET HEAD POST这三个方法 HTTP 1.1 这个版本是当前版本,包含GET HEAD POST OPTIONS PUT DELETE TRACE CONNECT这8个方法 我们先看看HTTP 1.1 规范的中文翻译 方法定义(Method Definitions) HTTP/...
weblogic 在config.xml中禁用不安全http方法的配置方法
05-24
要禁用WebLogic Server中不安全HTTP方法,可以在config.xml文件中进行以下配置: 1. 打开config.xml文件,通常位于$DOMAIN_HOME/config目录下。 2. 找到标签,如果不存在,则需要在标签下添加该标签。 3. 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值