Tomcat禁用OPTIONS协议(禁用Web请求方式)

最新推荐文章于 2024-07-01 21:07:59 发布
最新推荐文章于 2024-07-01 21:07:59 发布
阅读量8.4k 收藏 6
点赞数 2
分类专栏: 网络安全/网络通信 文章标签: Tomcat禁用OPTIONS协议(禁用Web请求方式) Web服务器开启了不必要的方法,如DELETE,PUT等方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ClearLoveQ/article/details/90209606
版权

有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。

这时我们需要禁用一些方法,比如DELETE,PUT防止攻击者对服务器进行攻击 

对于部署在tomcat上的应用来说,需要在tomcat的web.xml的配置文件中添加相应的配置,来达到禁用方法的目的:

步骤1:在web.xml文件中添加如下配置

<security-constraint>
        <web-resource-collection>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint>
        </auth-constraint>
    </security-constraint>
    <login-config>
        <auth-method></auth-method>
    </login-config>

说明:

简单解释一下上面各参数: 
<security-constraint> 的子元素 <http-method> 是可选的,(<http-method> 元素里面的的协议即是要被禁止的协议类型);如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 
子元素 <auth-constraint> 需要和 <login-config> 相配合使用,但可以被单独使用。如果没有 <auth-constraint> 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 <security-constraint> 中没有 <auth-constraint> 子元素的话,配置实际上是不起中用的。如果加入了 <auth-constraint> 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。

<login-config>为可选项:

对于<login-config>: 
当访问服务器中受保护的资源时,容器管理的验证方法可以控制确认用户身份的方式。Tomcat支持四种容器管理的安全防护,它们是:

BASIC(基本验证):通过HTTP验证,需要提供base64编码文本的用户口令
DIGEST(摘要验证):通过HTTP验证,需要提供摘要编码字符串的用户口令
FORM(表单验证):在网页的表单上要求提供密码
CLIENT-CERT(客户端证书验证):以客户端证书来确认用户的身份

参考自:https://blog.csdn.net/A_Runner/article/details/80618023 

ClearLoveQ
关注
专栏目录
禁用Springboot以jar方式使用内嵌tomcat的不安全http方法
chemyoo的博客
02-01 412
禁用Springboot以jar方式使用内嵌tomcat的不安全http方法
Nginx/Tomcat 关闭options方案
qianghong000的博客
03-24 1202
关闭options得根据服务器使用的WEB容器种类来决定方法,下面列举主流的。 nginx 参考: HTTP方法 评估结果 建议 说明 解决方案 HEAD 安全 无 除了服务器不能在响应中返回消息体,HEAD 方法与 GET 相同。HEAD 请求的响应中的 HTTP 头部中包含的元信息应该与 GET 请求发送的响应中的信息相同。该方法可用来获取请求暗示实体的元信息,而不需要传输实体本...
tomcat禁止PUT等方法
03-29
tomcat禁止PUT等方法,记录下来方便以后使用
漏洞修复:检测到目标服务器启用了OPTIONS方法
最新发布
yjfkeifk的博客
07-01 1011
IIS+asp.net网站,使用绿盟和。
Tomcat禁用OPTIONS/DELETE
xuxujing的专栏
11-19 733
    测试:curl -v -X OPTIONS http://localhost:8080/a/ curl -v -X OPTIONS http://localhost:8080/b.jsp TomcatWeb.xml中添加如下配置:&lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;url-pattern...
Tomcat隐藏版本号和禁用OPTIONS.
weixin_43915921的博客
01-14 2020
Tomcat隐藏版本号
Tomcat禁用OPTIONS协议
A_Runner的博客
06-08 1万+
冷冷七弦上,静听松风寒 最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是: 启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表 解决方案: 你可以在项目的web.xml或者tomcat服务器web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 打...
禁用 OPTIONS 请求
qq_42033668的博客
07-17 1355
渗透测试结果为 不安全的HTTP方法 OPTIONS。spring项目可通过设置tomcat 或者 nginx 禁止
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
对于Tomcat服务器禁用WebDAV或特定HTTP方法可以通过修改应用程序的`web.xml`配置文件来实现。以下是具体步骤: 1. 打开你的应用程序的`web.xml`文件,这是一个位于`WEB-INF`目录下的XML文件,用于定义应用程序的...
tomcat修改web.xml配置禁用options方法
06-07
禁用 Tomcat 中的 OPTIONS 方法,可以通过修改 web.xml 文件来实现。具体方法是在 web.xml 文件中添加一个名为 "default" 的 servlet,并将其映射到 "/*" 路径。然后,将 "default" servlet 的 "enableLookups" ...
关于HTTP协议禁用不常用方法漏洞的解决方案.docx
08-07
在网络通信中,HTTP(超文本传输协议)是客户端与服务器之间进行数据交换的主要方式之一。HTTP定义了一系列请求方法来规范交互过程,包括但不限于GET、POST、PUT、DELETE、HEAD、OPTIONS、TRACE等。虽然这些方法各有...
Tomcat过滤请求方式
q908544703的博客
06-02 1596
1.修改tomcat配置文件conf的web.xml(增加红色部分) 2.新增如下内容 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87
解决 Tomcat禁用OPTIONS协议(不安全的HTTP方法
p15097962069的博客
04-11 907
解决 Tomcat禁用OPTIONS协议(不安全的HTTP方法
OPTIONS方法禁用
热门推荐
zqhao的博客
03-13 2万+
在给系统做安全检测的过程中,发现了一个低危安全性问题,检测到目标服务器启用了OPTIONS方法OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。 解决...
WELOGIC&TOMCAT禁用OPTIONS方法
sdjzuch的专栏
09-16 1841
1、验证是否允许使用OPTIONS方法请求 curl -v -X OPTIONS http://IP:PORT/SERVLETNAME 如:curl -v -X OPTIONS http://127.0.0.1:2438/custserv 如果允许OPTIONS方法则返回如下: * About to connect() to 127.0.0.1 port 2438 (#0) * Tr...
TOMCAT关闭不安全的HTTP方法(PUT、DELETE、TRACE、OPTIONS等)
06-11 4905
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS协议访问应用程序/tomcat禁用不安全的http方法
QC班长的博客
06-10 1万+
使用了360网站安全检测 查到有OPTIONS方法 第一步:修改应用程序的web.xml文件的协议 xml version="1.0" encoding="UTF-8"?> web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema
【安全扫描问题】在Web服务器禁用OPTIONS方法
IOS_Mainstay的博客
08-07 1万+
1、修改web.xml 中的引入 &lt;web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" xsi:schemaLocation="http://j...
tomcat登录违反协议_解决 Tomcat禁用OPTIONS协议(不安全的HTTP方法
weixin_31507527的博客
01-17 1445
最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是:启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表解决方案:你可以在项目的web.xml或者tomcat服务器web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用;打开tomcat–>conf–>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值