WebDAV-tomcat 安全请求问题

最新推荐文章于 2024-04-29 01:00:00 发布
最新推荐文章于 2024-04-29 01:00:00 发布
阅读量795 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WO8451401/article/details/100079646
版权

WebDAV-tomcat

 

  1. 需求

由于网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法的禁用。

     2.问题复显

在未限制DELETE等方法前(即未做上述web.xml的内容的添加之前),测试httpDELETE方法的效果,方式如下:

第一步:

Tomcatweb.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数

<init-param> 

    <param-name>readonly</param-name> 

    <param-value>false</param-value> 

</init-param> 

 

readonly参数默认是true,即不允许deleteput操作,所以默认的通过XMLHttpRequest对象的put或者delete方法访问就会报告 http 403 forbidden 错误。

 

第二步:

 

从客户端通过 Ajax XMLHTTPRequest 发起 DELETE/PUT 请求,利用AJAX的方式调用DELETE,

Jsp页面添加:

<meta name="_csrf" content="${_csrf.token}"/>

<meta name="_csrf_header" content="${_csrf.headerName}"/>

<script type="text/javascript">

      var token = $("meta[name='_csrf']").attr("content");

     var header = $("meta[name='_csrf_header']").attr("content");

        function getXMLHTTPRequest(){

            if (XMLHttpRequest)    {

                return new XMLHttpRequest();

            } else {

                try{

                    return new ActiveXObject('Msxml2.XMLHTTP');

                }catch(e){

                    return new ActiveXObject('Microsoft.XMLHTTP');

                }

            }

        }

        var req = getXMLHTTPRequest();//DELETE

               

        req.open('DELETE','http://localhost:8080/images/play/1.png',false);

              req.setRequestHeader(header, token);

        req.send(null);

        //req.send({ form: 'data' });

        document.write(req.responseText);

 

     </script>

document.write(req.responseText);这一句既是调用了Ajax,也是将删除的1.png返回回来,删除成功 (已看到效果)。Tomcat文件中1.png已经被删除


 

3.问题解决

 

tomcat下的应用程序中web.xml中添加如下的代码

 

 <security-constraint>     
    <web-resource-collection>     
       <url-pattern>/*</url-pattern>     
       <http-method>PUT</http-method>     
    <http-method>DELETE</http-method>     
    <http-method>HEAD</http-method>     
    <http-method>OPTIONS</http-method>     
    <http-method>TRACE</http-method>
    </web-resource-collection>     
       <auth-constraint>     
       </auth-constraint>     
    </security-constraint>     
    <login-config>     
        <auth-method>BASIC</auth-method>     
    </login-config>

修改应用中的web.xml就只针对本应用起作用,修改tomcat中的web.xml就可以对启动在该tomcat下所有的应用起作用。
应用后的效果,请求 Access to the requested resource has been denied,会被拒绝

 

 4.安全拓展

Spring Security 4.0之后,引入了CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST

客户端访问服务端会首先发起get请求,这个get请求在到达服务端的时候,服务端的Spring security会有一个过滤 CsrfFilter去检查这个请求,如果这个request请求的http header里面的X-CSRF-COOKIEtoken值为空的时候,服务端就好自动生成一个 token值放进这个X-CSRF-COOKIE值里面,客户端在get请求的header里面获取到这个值,如果客户端有表单提交的post请求,则要求客户端要 携带这个token值给服务端,在post请求的header里面设置_csrf属性的token值,提交的方式可以是ajax也可以是放在form里面设置hidden 属性的标签里面提交给服务端,服务端就会根据post请求里面携带的token值进行校验,如果跟服务端发送给合法客户端的token值是一样的,那么 这个post请求就可以受理和处理,如果不一样或者为空,就会被拦截。由于恶意第三方可以劫持session id,而很难获取token值,所以起到了 安全的防护作用。

 

 

Beauty_魅影
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
禁用WebDAV-Tomcat(检测到目标URL启用了不安全的HTTP方法)
zjxeastchi的博客
09-19 3802
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
apache-tomcat-7.0.47.rar
06-19
1. **Catalina**:这是Tomcat的核心部分,负责处理Servlet和JSP的请求。Catalina遵循Java Servlet和Java EE Web容器规范,确保与这些标准的兼容性。 2. **Jasper**:Jasper是Tomcat中的JSP编译器,它将JSP文件转换...
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下
如何在 Ubuntu 14.04 上使用 Apache 配置 WebDAV 访问
最新发布
rubys007的博客
04-29 1683
WebDAV 是 HTTP 协议的扩展,允许用户在服务器上管理文件。有许多使用 WebDAV 服务器的方式。例如,您可以通过将 Word 或 Excel 文档上传到您的 WebDAV 服务器,与同事共享文件。所有这些都可以在他们不安装任何东西的情况下实现。有许多方法可以管理远程服务器上的文件。WebDAV 相对于其他解决方案(如 FTP 或 Samba)具有几个优点。
Apache Tomcat漏洞 之 CVE-2017-12617
KingXai的专栏
12-13 8623
Apache Tomcat中发现的CVE-2017-12617严重远程代码执行(RCE)漏洞影响启用了HTTP PUT的系统(通过将默认servlet的“只读”初始化参数设置为“false”)受到影响。如果默认servlet的参数只读设置为false,或者配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的Tomcat版本在所有操作系统上包含潜在危险的
CVE-2017-12617-Tomcat远程代码执行漏洞复现分析
qq_29365787的博客
06-09 3218
CVE-2017-12617-Tomcat远程代码执行漏洞复现分析 一、CVE-2017-12617介绍 如果配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的远程执行代码(RCE)漏洞,CVE-2017-12617:远程代码执行漏洞。只需参数readonly设置为false或者使用参数readonly设置启用WebDAV servlet false。此配置将允许任何未经身份验证的用户上传文件(如WebDA
apache-tomcat-6.0.53.tar.gz
09-09
需要注意的是,尽管Tomcat 6是一个稳定版本,但现在已经较为过时,最新的安全补丁和支持主要集中在更现代的版本上,如Tomcat 9。因此,对于生产环境,建议升级到最新版本以获取更好的性能和安全性。同时,使用过程中...
apache-tomcat-8.5.31
07-25
Apache Tomcat 8.5.31 是一个广泛使用的开源软件,它是一个实现了Java Servlet、JavaServer Pages(JSP...在使用过程中,开发者可以根据需求进行配置优化,提升性能和安全性,同时利用丰富的社区资源和文档来解决问题
apache-tomcat-7.0.78-windows-x64.zip
05-03
7. **Security**:Tomcat提供了丰富的安全配置选项,如角色基础的访问控制、SSL/TLS加密以及FORM和BASIC认证机制,以保护Web应用的安全。 8. **国际化与本地化支持**:Tomcat允许Web应用根据用户的语言环境提供多...
apache-tomcat-8.0.24
07-01
6. **安全性**:8.0.24版本的Tomcat包含了多种安全特性,如角色基础的访问控制(RBAC)、SSL/TLS支持以及容器管理的身份验证机制,以保护Web应用免受攻击。 7. **国际化和本地化支持**:Tomcat允许开发者为不同的...
apache-tomcat-8.0.52-x64.zip
12-10
7. **WebDAV**:Tomcat可以被配置为支持WebDAV协议,允许用户通过HTTP协议编辑和管理服务器上的文件。 8. **JK** (mod_jk):这是Apache HTTP Server与Tomcat之间的连接器,使两者能协同工作,提供更高性能的Web应用...
apache-tomcat-7.0.59
06-12
然而,作为老版本,Apache Tomcat 7.0.59可能缺少一些新版本中的安全性增强、性能优化和新功能。例如,它不支持Java EE 8规范,对于最新的Web开发框架和库可能有兼容性问题。因此,对于新项目,推荐使用更现代的...
apache-tomcat-6.0.45-src.zip
06-06
- Tomcat的架构主要由Catalina、Covalent、 Jasper、Jasper2、Juli、Apr、Naming、Cluster和WebDAV等组件构成。 - Catalina是核心组件,处理Servlet和JSP的生命周期。 - Jasper负责编译和执行JSP页面。 - Juli是...
apache-tomcat-7.0.72-windows-x64.zip
12-11
安全性方面,Tomcat提供了多种安全特性,如角色基础的访问控制(RBAC)、SSL/TLS支持、Form认证等。这些可以通过修改`server.xml`和`web.xml`文件来配置。 此外,Tomcat维护和更新也很重要,定期检查官方发布的安全...
Apache-tomcat-8.0.0 for centos
09-15
Tomcat 8.0.0是在Tomcat系列中的一个重要版本,它引入了许多新特性、性能优化和安全性改进。 首先,让我们了解**CentOS 7**。这是一个基于Red Hat Enterprise Linux的社区驱动的免费操作系统,以稳定性著称,广泛...
Tomcat 禁用不安全的 HTTP 请求
灬勿忘丶心安
06-06 2226
Tomcat 禁用不安全的 HTTP 请求 一、配置 tomcat 的 web.xml 文件   WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读...
tomcat 配置https安全认证协议报错解决方案
小静的专栏
02-20 1939
错误:        严重: Failed to initialize end point associated with ProtocolHandler ["http-bio-8080"] 或者  [''http-apr-8080"]    tomcat下 conf/server.xml 注意位置1 &lt;Server port="8075" shutdown="SHUTDOWN"...
【原创】关于tomcat配置角色验证遇到的问题
Xgeeeeek的专栏
05-26 227
使用tomcat配置角色验证需要该两个文件,web.xml(至于到底是conf下的web.xml或者是自建项目目录下的web.xml下配置,我试验过了,都可以)和tomcat-users.xml。 tomcat-users.xml添加   &lt;role rolename="admin"/&gt; &lt;user username="iteye" password="198666...
mac webdav-aliyundriver
09-08
Mac WebDAV-AliyunDriver是一种用于Mac操作系统的WebDAV驱动程序,能够方便地将Aliyun(阿里云)云存储与Mac系统进行连接和同步文件。 WebDAV是一种基于HTTP协议的文件传输和访问技术,它使得用户可以通过互联网...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值