TOMCAT禁用OPTIONS请求
老项目等保要求进行安全测试,web渗透测试常用抓包工具进行攻击,自己修复完漏洞没法测试简单学习了Burp Suite。
下载地址
https://down.52pojie.cn/Tools/Network_Analyzer/
文件名:Burp_Suite_Pro_v1.7.37_Loader_Keygen.zip
解压后双击运行jar
点击run进入Burp Suite
配置ie浏览器
intercept is on 表示开启拦截action-send to repeater进入对请求修改
修改请求为OPTIONS点击go发送请求
tomcat禁用OPTIONS等请求需要配置web.xml,可以配置在tomcat的web.xml(对tomcat中所有项目生效
)也可以配置在项目的web.xml中(只对当前项目生效)
<security-constraint>
<web-resource-collection>
<web-resource-name >SSL</web-resource-name>
<url-pattern>/* </url-pattern>
<http-method>PUT</http-method>
<http-method>HEAD</http-method>
<http-method>TRACE</http-method>
<http-method>DELETE</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>