[安全]检测出项目内的安全漏洞,如启用了不安全的HTTP方法,会话Cookie中缺少某某属性等

最新推荐文章于 2024-08-25 09:26:55 发布
最新推荐文章于 2024-08-25 09:26:55 发布
阅读量1.7k 收藏 5
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lang_Perry/article/details/94618713
版权

目录

1.启用了不安全的HTTP方法

2.开启OPTIONS方法

3.错误页面Web应用服务器版本泄露

4.X-Frame-Options Header未配置

5.会话Cookie中缺少secure/HttpOnly属性

6.敏感目录

 

  前段时间收到了第三方发过来的网站安全评估报告,发现我所管理的很多项目有各种漏洞,总结下来如下,做个笔记以便后续自己写项目时注意避免和修正,也为后续有类似的问题有更快的解决,也给大家一种解决方案.

    罗列 启用了不安全的HTTP方法,开启OPTIONS方法,错误页面Web应用服务器版本泄露,X-Frame-Options Header未配置,会话Cookie中缺少secure属性,会话Cookie中缺少HttpOnly属性,敏感目录,如何解决.

1.启用了不安全的HTTP方法

1)HTTP方法

HTTP目前有两个版本,HTTP1.0和HTTP1.1
HTTP1.0定义了三种请求方法:GET,POST,HEAD
HTTP1.1在1.0的基础上新增了五种请求方法:OPTIONS,PUT, DELETE,TRACE,CONNECT

WebDAV(也是一种协议)完全采用了HTTP1.1的方法,扩展了一些方法:例如Lock和Unlock(写文件锁定及解锁)等

2)解决方案

<!--方法1--如果是tomcat服务器启动的项目-->
tomcat服务器内的应用及(WEB-INF)下的web.xml中增加如下代码
<security-constraint>
  <web-resource-collection>
    <web-resource-name>fortune</web-resource-name>
       <url-pattern>/*</url-pattern>
       <http-method>PUT</http-method>
       <http-method>DELETE</http-method>
       <http-method>HEAD</http-method>
       <http-method>OPTIONS</http-method>
       <http-method>TRACE</http-method>
     </web-resource-collection>
  <auth-constraint></auth-constraint>
</security-constraint>

<!--方法2--如果是tomcat服务器启动的项目-->
直接修改tomcat的web.xml,插入代码同上.最终效果是一样的,不过是在外围tomca外围就处理了,对于webapps里面有多个项目来说,这样更简单.

<!--
补充说明:
<security-constraint>用于限制对资源的访问
<auth-constraint>用于限制那些角色可以访问资源,这里设置为空就是禁止所有角色用户访问
<url-pattern>指定需要验证的资源
<http-method>指定那些方法需要验证
-->

<!--方法3--如果是springboot项目,通过java -jar启动的,默认使用内嵌的tomcat-->
需要在Application.java这个启动类中加入代码,最终代码效果如下:

@EnableZuulProxy
//@EnableEurekaClient
@SpringBootApplication
public class Application {

	public static void main(String[] args) {
		SpringApplication.run(Application.class, args);
	}
    //修改内嵌tomcat的请求类型限制
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {// 1
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addMethod("HEAD");
                collection.addMethod("PUT");
                collection.addMethod("DELETE");
                collection.addMethod("OPTIONS");
                collection.addMethod("TRACE");
                collection.addMethod("COPY");
                collection.addMethod("SEARCH");
                collection.addMethod("PROPFIND");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        //如果需要禁用TRACE请求,需添加以下代码:
        tomcat.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return tomcat;
    }
}

2.开启OPTIONS方法

这个问题被包含在了上面的 启用了不安全的HTTP方法,通过上面的方式,解决了.

3.错误页面Web应用服务器版本泄露

<!-- 本次检出这个漏洞的均为nginx服务器,需要隐藏nginx版本信息 -->
第一步:在nginx的安装路径下找到配置文件nginx.conf,在http下加入"server_tokens off;"字段即可

http {
...
server_tokens off;
...

}

-------------------------------------------------------------------------------------
<!-- 第一步已经处理了问题.如果想进一步将 默认的错误页面定向到 指定页面,可以这么处理 -->
@第二步: 
  <!-- 如果使用的nginx服务器,在配置文件nginx.conf内的http下加入"proxy_intercept_errors on;"表示启用错误拦截
      指定错误跳转文件,设置 error_page 
  -->
http {
...
proxy_intercept_errors on;
...
    server {
    ...
    error_page 404 /404.html
    error_page 500 502 503 504 /50x.html
    ...

}

  <!-- 如果未使用nginx服务器,使用tomcat启动的项目
       在具体项目的WEB-INF下的web.xml或者直接tomcat下的conf/server.xml中加入如下代码
   -->
<error-page> 
    <error-code>404</error-code> 
    <location>/404.html</location> 
</error-page>

4.X-Frame-Options Header未配置

<!-- 方法1:如果服务器中有nginx -->
在nginx的安装路径下找到配置文件nginx.conf,在http下加入"add_header X-Frame-Options SAMEORIGIN;"字段即可

http {
...
add_header X-Frame-Options SAMEORIGIN;
...

}
<!-- 方法2:如果服务器中没有nginx,且为非springboot项目 -->
需要在代码层面,定义过滤器Filter或者拦截器Servlet进行处理. 

<!-- 自定义的Filter中 -->
public class XFOFilter implements Filter {
    public void destroy() {
    }

    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        //在response设置header
        if(resp.getHeader("X-Frame-Options")==null){
            resp.addHeader("X-Frame-Options","SAMEORIGIN");
        }
        filterChain.doFilter(request, response);
    }

    public void init(FilterConfig arg0) throws ServletException {
    }
}
<!-- 将Filter载入项目中 -->
    <!-- 如果项目有WEB-INF的web.xml文件 -->
<filter>
    <filter-name>XFOFilter</filter-name>
    <filter-class>项目自定义的Filter package.XFOFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XFOFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

    <!-- 如果无web.xml文件,为springboot项目,则通过java代码加载配置 -->
在Filter.java上加入注解@WebFilter
在Application.java上加入注解@ServletComponentScan

5.会话Cookie中缺少secure/HttpOnly属性

<!--编写Filter-->
public class CookieSecureAndHttpOnlyFilter implements Filter {
    public void destroy() {
    }

    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain filterChain) throws IOException, ServletException {
        // 解决检测到会话 cookie 中缺少 Secure/HttpOnly 属性
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        Cookie[] cookies = req.getCookies();
        /*if(cookies!=null){
            for(Cookie cookie : cookies) {
                cookie.setHttpOnly(true);
                cookie.setSecure(true);
            }*/
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                String value = cookie.getValue();
                StringBuilder builder = new StringBuilder();
                builder.append("JSESSIONID=" + value + "; ");
                builder.append("Secure; ");
                builder.append("HttpOnly; ");
                resp.setHeader("Set-Cookie", builder.toString());
            }

        }
        filterChain.doFilter(request, response);
    }

    public void init(FilterConfig arg0) throws ServletException {
    }
}
<!-- 将Filter载入项目中 -->
    <!-- 如果项目中有web.xml,则将Filter设置到WEB-INF下的web.xml设置下 -->
<filter>
    <filter-name>CookieSecureAndHttpOnlyFilter</filter-name>
    <filter-class>项目自定义的Filter package.CookieSecureAndHttpOnlyFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>CookieSecureAndHttpOnlyFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
    <!-- 如果项目中没有web.xml,则采用java代码配置的方式 -->
在Filter上加入注解@WebFilter
在Application上加入注解@ServletComponentScan

6.敏感目录

<!--一般为第三方服务器工具,例如tomcat的默认文件,识别为敏感路径,容易暴露出服务器的一些信息,导致黑客攻击-->
将对应的敏感路径删除 或 改名即可
建议改名,万一删除目录后导致项目异常,可以再改回来.

 

GLPerryHsu
关注
2022第三届全国大学生网络安全精英赛练习题(2)
派大星子的博客
11-20 1万+
2022第三届全国大学生网络安全精英赛练习题(2)
IM开发基础知识补课(四):正确理解HTTP短连接Cookie、Session和Token
weixin_34014277的博客
04-09 1516
本文引用了简书作者“骑小猪看流星”技术文章“Cookie、Session、Token那点事儿”的部分内容,感谢原作者。 1、前言 众所周之,IM是个典型的快速数据流交换系统,当今主流IM系统(尤其移动端IM)的数据流交换方式都是Http短连接+TCP或UDP长连接来实现。Http短连接主要用于从服务器读取各种...
启用了不安全http方法漏洞
01-09
在web.xml文件配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
启用了不安全HTTP方法
u013673367的专栏
08-20 2037
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
漏洞修复:检测到目标服务器启用了OPTIONS方法
yjfkeifk的博客
07-01 1022
IIS+asp.net网站,使用绿盟和。
4.1.HTTP网络请求原理
深情小建
09-18 672
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
启用安全HTTP方法-正确修复方法-apache
薄炙厚词的博客
05-17 3244
apache、http——启用安全http方法修复方案 @Time : 2021/5/17 下午5:04 @Author : 开始编辑~ 说明 apache默认安装之后,会开启多个http方法, 网络上有好多个修复方式是通过过滤的形式进行限制,但是治标不治本 如果只使用过滤http方法进行限制会现下列问题 使用过滤限制http请求方法的步骤 在httpd.conf配置文件取消mod_rewrite.so模块的注释 #LoadModule rewrite_module modules/mod_r
安全渗透学习小结
wnma3mz的博客
10-17 6305
安全渗透学习小结 本文用以记录学习过的一些安全渗透知识。 Google Hacker 参考文章:google hacker inurl: 用于搜索网页上包含的URL. 这个语法对寻找网页上的搜索,帮助之类的很有用. intext: 只搜索网页部分包含的文字(也就是忽略了标题,URL等的文字). site: 可以限制你搜索范围的域名. filetype: 搜索文件的后缀或者扩展名 intitle:...
大型公司网络系统集成方案
最新发布
打工人
08-25 944
主要建设一个企业信息系统,它以管理信息为主体,连接生产、销售、维护、运营子系统,是一个面向公司的日常业务、立足生产、面向社会,辅助领导决策的计算机信息网络系统。
购物车cookie和session实现原理
wang_ze的博客
06-05 4328
购物车相当于现实超市的购物车,不同的是一个是实体车,一个是虚拟车而已。用户可以在购物网站的不同页面之间跳转,以选购自己喜爱的商品,点击购买时,该商品就自动保存到你的购物车,重复选购后,最后将选的所有商品放在购物车统一到付款台结账,这也是尽量让客户体验到现实生活购物的感觉。服务器通过追踪每个用户的行动,以保证在结账时每件商品都物有其主。   主要涉及以下几点:   1,把商品添加到购物车,...
正确修复:启用安全HTTP方法方法-apache
hzjhss的博客
09-03 387
原文链接:https://blog.csdn.net/BoZhihouci/article/details/116942082。当重启apache服务之后,再次构造OPTIONS方法现403错误,这样问题就解决了吗?这样一来,当现不存在的http方法时,apache也会打印如OPTIONS的作用一样的信息。怀着好奇的心思,恢复了apache默认配置,仍然是这个问题。重启服务之后再次验证,http方法果然减少,但还是有TRACE方法存在,再次测试,此时已全部解决,如有疑问,可以留言,我们继续讨论。
禁用WebDAV-Tomcat检测到目标URL启用了不安全HTTP方法
zjxeastchi的博客
09-19 3919
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
目标URL启用了不安全HTTP方法
教官的博客
10-30 813
修复目标URL启用了不安全HTTP方法
AppScan扫描启用了不安全的“OPTIONS”HTTP 方法
liudoyang的博客
12-26 3501
**服务器禁止不需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其有一个问题是:启用了不安全的“OPTIONS”HTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat解决办法。现在记录一下websphere解决问题思路,给使用we...
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法漏洞修复
LENGTH18的博客
08-27 4208
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描的漏洞其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描来漏洞为下面五个,其
security-constraint解决-启用安全http方法
kang1011的博客
11-13 2247
security-constraint解决-启用安全http方法 拦截具体的接口,避免一些不合规的方式直接请求攻击 <security-constraint> <web-resource-collection> <web-resource-name>securityUrl</web-resource-name> <url-pattern>/home.do&l
【漏洞修复】检测到目标URL启用了不安全HTTP方法
LIARRR的博客
04-20 1387
检测到目标Web服务器配置成允许下列其一个(或多个)HTTP 方法:OPTIONS,DELETE, SEARCH,COPY,MOVE, PROPFIND, PROPPATCH, MKCOL ,LOCK ,UNLOCK。这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。
启用了不安全的“OPTIONS”HTTP方法 - OPTIONS *
akaiyijian001的博客
05-04 1864
方法,该方法被认为是危险的,部分漏扫工具会认为其用了WebDAV。通过源码debug,tomcat会对。通过构造请求进行源码debug。请求时,响应报文请求头。进行特殊处理,该实现在。
Tomcat配置错误:启用安全HTTP方法漏洞分析
"启用了不安全HTTP方法漏洞通常现在Web应用程序的配置,特别是Tomcat服务器的`web.xml`文件。此问题涉及到允许不受限制地使用潜在危险的HTTP请求方法,如PUT、DELETE、HEAD、OPTIONS和TRACE,这可能为攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值