【安全问题】启用了不安全的HTTP方法——深度分析及解决方案

最新推荐文章于 2024-05-01 13:34:28 发布
最新推荐文章于 2024-05-01 13:34:28 发布
阅读量6.8k 收藏 11
点赞数 2
分类专栏: 安全测试 文章标签: 安全 安全漏洞 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hello_MiaoJiang/article/details/108851572
版权

前言

启用了不安全的HTTP方法是常见的安全报错。本文将对八种主要的HTTP方法进行原理及安全性分析,并提供简单的解决方案。

1、HTTP方法安全性分析

1.1 HTTP方法由来

HTTP协议提供了集中请求方式,每种请求方式都有不同的作用,HTTP请求可以使用多种请求方法。
HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。
HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。

1.2 HTTP方法详述

  1. GET方法:GET是最常用的方法,它的作用是获取服务器中的某个资源。如图所示,客户端用GET方法发起了一次HTTP请求,然后服务端将对应的资源返回给客户端。
    在这里插入图片描述
  2. POST方法:POST请求通常会用来提交HTML的表单,将表单中填好的数据会被传输给服务器,然后由服务器对这些数据进行处理。
最低0.47元/天 解锁文章
Hello_MiaoJiang
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Web 应用程序报告: 启用了不安全的“OPTIONSHTTP 方法 建议:禁用 WebDAV,或者禁止不需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 4880
Web 应用程序报告 有一项叫做启用了不安全的“OPTIONSHTTP 方法 然后他会建议 禁用WebDAV,或者禁止不需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
swift-ALButtonMenu-一个简单完全可定制的iOS菜单解决方案
08-15
ALButtonMenu,正如其名,是一款专为iOS设计的简单而完全可定制的菜单解决方案,采用Swift语言编写,能够帮助开发者轻松创建出独具特色的菜单控件。本文将深入探讨ALButtonMenu的核心特性、使用方法以及如何根据项目...
PHP模拟http请求的方法详解
01-20
本文实例讲述了PHP模拟http请求的方法。分享给大家供大家参考,具体如下: 方法一:利用php的socket编程来直接给接口发送数据来模拟post的操作。 建立两个文件post.php,getpost.php post.php内容如下: <?php $flag = 0; $params = ''; $errno = ''; $errstr = ''; //要post的数据 $argv = array( 'var1'=>'abc', 'var2'=>'how are you , my friend??'); //构造要post的字符串 foreach ($argv as $
WEB项目HTTP HEADER常见的安全漏洞
m0_37049740的博客
03-12 2616
WEB项目中有些常见的漏洞,是大家都没注意到或者不了解的。这当中涉及了前后端程序设计的安全问题,也有HTTP 报文头的常见漏洞,如XSS等。这里梳理一些常见的漏洞,给大家做说明与提供一套解决方案
2024年网安最全不安全HTTP方法
最新发布
2401_84266016的博客
05-01 134
(6)GET请求会被浏览器主动cache,而POST不会,除非手动设置。(7)GET在浏览器回退时是无害的,而POST会再次提交请求。(1)GET 和 POST,用的都是同一个传输层协议,所以在传输上没有区别。(2)GET 方法 和 POST都可以传输实体的主体 (但一般不用GET方法进行传输,而是用POST方法;虽然GET方法和POST方法很相似,但是POST的主要目的并不是获取响应的主体内容)。
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法漏洞修复
LENGTH18的博客
08-27 4049
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
AppScan扫描启用了不安全的“OPTIONSHTTP 方法
liudoyang的博客
12-26 3285
**服务器禁止不需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用了不安全的“OPTIONSHTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat的解决办法。现在记录一下websphere解决问题思路,给使用we...
4.1.HTTP网络请求原理
深情小建
09-18 651
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
启用了不安全的“OPTIONSHTTP方法 - OPTIONS *
akaiyijian001的博客
05-04 1548
方法,该方法被认为是危险的,部分漏扫工具会认为其用了WebDAV。通过源码debug,tomcat会对。通过构造请求进行源码debug。请求时,响应报文请求头。进行特殊处理,该实现在。
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 3515
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
启用了不安全http请求方法 OPTIONS
星语惜馨的博客
10-22 5762
tomcat配置: 在tomcat的web.xml中添加如下的代码后重启tomcat,注意添加后只对tomcat下的目录有效。参照所需禁用的http方法添加。 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
「云安全」信息安全_数据安全_Abusing WCF Endpoints for RCE and Priv - 数据安全.
11-27
本篇文章将深入探讨一个特定的安全问题——滥用Windows Communication Foundation (WCF) 终点进行远程代码执行(RCE)和权限提升攻击,并提供相关的解决方案和防范措施。 首先,我们要理解什么是Windows ...
面向存储的优化服务解决方案.pdf
10-13
面向存储的优化服务解决方案是针对企业在存储管理方面遇到的挑战而设计的一项专业服务。这个解决方案旨在帮助企业提升存储性能,加速IT转型,同时降低运维成本和风险。以下是对该方案的详细解析: 首先,存储挑战...
APT OWASP_SAMM软件保障成熟度模型项目 - ubuntu.zip
11-08
《APT OWASP_SAMM软件保障成熟度模型项目——基于Ubuntu的安全实践》 在信息技术领域,安全始终是不可忽视的重要议题。"APT OWASP_SAMM软件保障成熟度模型项目"是一个专注于提升软件安全性的框架,它强调了基础架构...
海康威视DS-19A系列电话接线操作手册.docx
10-11
及云计算、大数据、深度学习等前瞻技术,针对公安、交通、司法、文教卫、金融、能源和智能楼宇等众多行业提供专业的细分产品、IVM 智能可视化管理解决方案和大数据服务。 海康威视在视频监控数字化、网络化、高清...
Springboot -- 网络安全漏洞处理
zhangdm的博客
02-26 9069
文章目录不安全HTTP 方法以及 Nginx 屏蔽版本号显示说明检测方式不安全HTTP 方法 处理代码屏蔽 Nginx 版本号显示点击劫持漏洞说明什么是ClickJacking检测方式处理代码XSS跨站脚本攻击说明检测方式处理代码 (参考网上的代码,主要是对传入的信息进行敏感字符的过滤) 不安全HTTP 方法以及 Nginx 屏蔽版本号显示 说明 Web服务器在默认情况下开放了一些不必要的HTTP方法(如OPTIONS,DELETE、PUT、TRACE、MOVE、COPY),增加了受攻击的几率,
[安全]检测出项目内的安全漏洞,如启用了不安全HTTP方法,会话Cookie中缺少某某属性等
PerryHsu的博客
07-04 1653
目录 1.启用了不安全HTTP方法 2.开启OPTIONS方法 3.错误页面Web应用服务器版本泄露 4.X-Frame-Options Header未配置 5.会话Cookie中缺少secure/HttpOnly属性 6.敏感目录 前段时间收到了第三方发过来的网站安全评估报告,发现我所管理的很多项目有各种漏洞,总结下来如下,做个笔记以便后续自己写项目时注意避免和修正,...
启用了不安全HTTP方法
u013673367的专栏
08-20 2010
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
终端安全解决方案.pdf
05-20
终端安全解决方案.pdf中提到了终端安全解决方案的第一部分,其中介绍了处理终端问题方法。首先是需要查找到攻击源的方法。其中包括物理查看方法,即查看网卡显示灯。如果没有运行应用的机器,网卡的收发两个灯或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值