关闭

漏洞修复

243人阅读 评论(0) 收藏 举报
分类:

不安全的HTTP方法
漏洞风险:成功的攻击可能会产生上载、修改或删除 Web 页面、脚本和文件的效果。
N-Base分类:客户端攻击类型—内容电子欺骗
漏洞描述:
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。

vim /usr/local/tomcat/conf/web.xml 
在</web-app>前添加

  <security-constraint>
          <web-resource-collection>
          <web-resource-name>fortune</web-resource-name>
          <url-pattern>/*</url-pattern>
          <http-method>PUT</http-method>
          <http-method>DELETE</http-method>
          <http-method>HEAD</http-method>
          <http-method>OPTIONS</http-method>
          <http-method>TRACE</http-method>
          </web-resource-collection>
          <auth-constraint></auth-constraint>
          </security-constraint>

错误信息泄露
漏洞风险:会使得攻击者搜集到网站的敏感信息
N-Base分类:信息泄漏类型—-错误信息泄漏
漏洞描述:
通过网站的下载页面的错误信息,可以得到网站的敏感信息,而这些信息可能会导致用户系统受到更有力的攻击结果。

解决建议:
1、创建一个新的错误页面。
2、在httpd.conf中将500等错误指向刚创建的错误页面。

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:116091次
    • 积分:2587
    • 等级:
    • 排名:第14802名
    • 原创:143篇
    • 转载:12篇
    • 译文:0篇
    • 评论:17条
    文章分类
    最新评论