apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改的认证旁路漏洞

最新推荐文章于 2023-04-11 09:09:43 发布
最新推荐文章于 2023-04-11 09:09:43 发布
阅读量1.1w 收藏 2
点赞数
分类专栏: appscan扫描漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyd135364/article/details/52067175
版权

第一种办法:在/opt/IBM/HTTPServer/conf 下的httpd.conf也就是apache的配置文件.加上如下代码


<Location />  
<LimitExcept GET POST HEAD CONNECT OPTIONS> 
  Order Allow,Deny 
  Deny from all 
</LimitExcept> 
</Location> 


LimitExcept 后面写的是允许经过的http方法,我这边是was8.5默认的put和delete、trace方法是禁止的,head方法好像默认不禁止,你在这里写上LimitExcept GET POST

只允许post和get方法也没用,head照样可以走,我猜想是在was8.5本身默认禁止和不禁止的配置上加这些代码的吧。


第二种方法:在程序中加过滤器,我是Struts1 ,针对每一个请求都加上过滤器,使用request.getMethod方法判断,除了get,post , head,connect ,options之外的方法都直接return就行了,如下所示。


if(method.equalsIgnoreCase("post")||method.equalsIgnoreCase("get")||method.equalsIgnoreCase("head")
    ||method.equalsIgnoreCase("trace")||method.equalsIgnoreCase("connect")||method.equalsIgnoreCase("options")){
   

}

    

隐0士
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用http动词篡改认证旁路
折腾java的博客
06-09 1574
可能会升级用户特权并通过 Web 应用程序获取管理许可权可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。 测试结果似乎指示存在脆弱性,因为“测试响应”与“原始响应”完全相同,这表明动词篡改能够绕过站点认证。增加拦截器,判断请求方式是否合法,合法则放行。......
AppScan10.0安装使用手册2020版.pdf
08-07
一款Web应用安全测试工具,采用黑盒测试的方式,可以扫描常见的web应用安全漏洞AppScan10.0安装使用手册,最新版。从安装配置使用到手动探索,全程挖漏洞,轻松简单。
method-override:覆盖HTTP动词
02-04
方法重写 使您可以在客户端不支持的位置使用HTTP动词,例如PUT或DELETE。 安装 这是通过提供的模块。 使用完成 : $ npm install method-override API 注意在需要了解请求方法的任何模块之前使用此模块非常重要(例如,必须在csurf模块之前使用它)。 methodOverride(getter,选项) 创建一个新的中间件函数,以新值覆盖req.method属性。 该值将从提供的getter提取。 getter用于查找请求的重写请求方法的getter。 (默认值: X-HTTP-Method-Override ) options.methods
Web漏洞扫描之AppScan.pdf
06-23
Web漏洞扫描之AppScan用法教程
appscan漏洞扫描工具
07-12
appscan漏洞扫描工具: AppScan的安装 1、解压安装包,双击AppScan_Setup_10.0.0.exe运行,默认下一步安装完成即可。 2、将AppScanStdCrk文件夹中的rcl_rational.dll和AppScanStandard.txt复制到安装根路径下,覆盖原来的文件。 3、双击桌面快捷方式,打开软件,点击帮助->许可证->切换到IBM许可证。 4、点击打开Appscan License Manager,——>点击许可证配置->节点锁定许可证文件中点击“+”选择安装目录下的AppScanStandard.txt文本作为许可证. 5、许可证设置成功后可以正常使用
AppScan安全测试漏洞检测工具10.4版本
最新发布
12-25
AppScan具有强大的静态、动态、交互式和开源扫描引擎可以部署在开发生命周期的每个阶段,提供完善的漏洞规则库、漏洞扫描引擎、安全性能扫描、云系统集成、Web应用技术和多种代码语言灯
AppScan常见故障及解决方法.pdf
10-05
AppScan常见故障及解决方法.pdf
安全篇 ━━ 整改php和IIS(根据安全等级保护评估、渗透测试报告)
暂时先用这个名字
10-16 5934
1、 目标URL存在http host头攻击漏洞 在代码部分注释_SERVER[“HTTP_HOST”]方法,仅留_SERVER["SERVER_NAME”] 2、 会话cookie中缺少HttpOnly属性 在代码部分开启HttpOnly 在服务器开启httpOnlyCookies为True 3、 目标X-Content-Type-Options响应头缺失 在代码部分设置X-Content-Type-Options为nosniff 在IIS设置X-Content-Type-Options为nosn
使用 HTTP 动词篡改认证旁路Http Verb Tempering: Bypassing Web Authentication and Authorization)
热爱生活~热爱工作~热爱每一天~
12-11 4684
Http Verb Tempering: Bypassing Web Authentication and Authorization(使用 HTTP 动词篡改认证旁路 什么是HTTP动词HTTP VERB)? 超文本传输协议(HTTP)提供了可以用于在web服务器上执行操作的方法列表。 这些方法中的许多都旨在帮助开发人员在开发或调试阶段部署和测试HTTP应用程序。 如果web服务器配置不当,这些HTTP方法可能被用于恶意目的。 此外,还将检查一些高脆弱性,如跨站点跟踪(XST),这是一种使用
Tomcat:org.apache.coyote.http11.Http11Processor.service 解析 HTTP 请求 header 错误
猫的咖啡店
02-15 3740
Tomcat:org.apache.coyote.http11.Http11Processor.service 解析 HTTP 请求 header 错误
tomcat高版本之URL解析异常解决
小强快跑~~
11-18 5165
IllegalArgumentException 一、项目场景: 例如:由于Apache的tomcat的版本升级,遵循RFC 7230 and RFC 3986规范解析请求地址。同时添加了对于http头的验证请求。 导致报文存在导致特殊字符(不在解析范围内的)tomcat7.0.65以上的版本会出现java.lang.IllegalArgumentException。 请求报文如下: http://127.0.0.1:8180/appname/doTestTransaction.action?r
apache 禁用部分 http协议
右后方,天才的博客
05-06 703
echo 'RewriteEngine on' >> httpd.conf echo 'RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) [NC]' >> httpd.conf echo 'RewriteRule .*$ - [F,L]' >> httpd.conf 禁用IP 访问是 RewriteCond %{HTT...
简单防御“高斯炮”
weixin_33835103的博客
03-31 84
2019独角兽企业重金招聘Python工程师标准>>> ...
Apache如何禁用http方法
Lucifer_QMY的博客
04-11 1052
Apache 中禁用 HTTP 方法可以通过修改 Apache 配置文件(如 httpd.conf)或虚拟主机配置文件(如 httpd-vhosts.conf)来实现。
解决Invalid c found in the request targetThe valid characters are defined in RFC 7230 and RFC 3986
04-27 444
java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986 at org.apache.coyote.http11.Http11InputBuffer.parseRequ...
Apache拦截HTTP请求
09-16 3218
http://fengchangjian.com/?p=865 有些时候,为了保证Web应用的安全性,可以选择在Apache服务器中将一些危险的HTTP请求过滤,例如DELETE请求,也可以将系统不作处理的无效请求过滤,例如TRACE、OPTIONS请求,以防入侵者发送
Invalid character found in the request target [/expert/deleteExpert?idList[]=10&idList[]=11].
qq_49879334的博客
01-11 165
做练习时,遇到个错误,记一下 问题 java.lang.IllegalArgumentException: Invalid character found in the request target [/expert/deleteExpert?idList[]=10&idList[]=11]. The valid characters are defined in RFC 7230 and RFC 3986 at org.apache.coyote.http11.Http11InputBuffer
appscan漏洞扫描使用说明
07-14
AppScan是一款流行的漏洞扫描工具,用于识别和评估Web应用程序中的安全漏洞。以下是AppScan漏洞扫描的基本使用说明: 1. 安装和配置:下载并安装AppScan,然后按照提供的指南进行基本配置。确保您的系统满足最低要求并具有适当的许可证。 2. 创建项目:在AppScan中创建一个新项目,提供相关信息,如目标URL和认证凭据(如果需要)。您还可以选择其他配置选项,如扫描深度和扫描策略。 3. 配置扫描选项:根据您的需求选择适当的扫描选项。您可以选择执行全面扫描或仅针对特定漏洞类别执行扫描。 4. 启动扫描:点击"开始扫描"按钮启动扫描。AppScan将自动访问目标URL,并尝试发现潜在的漏洞。 5. 查看扫描结果:一旦扫描完成,您可以查看扫描结果报告。报告将列出检测到的漏洞及其严重性级别。您可以通过报告中提供的详细信息,了解每个漏洞的具体细节和修复建议。 6. 修复漏洞:基于AppScan的扫描结果,您应该尽快修复检测到的漏洞。根据漏洞的严重性级别,您可以优先处理高风险漏洞。 7. 定期扫描:漏洞扫描不是一次性任务,建议定期使用AppScan对Web应用程序进行扫描,以确保持续的安全性。 请注意,这只是AppScan的基本使用说明。根据您的具体需求和环境,您可能需要更多高级配置和操作。建议参考AppScan的官方文档和用户手册,以了解更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值