Appscan漏洞之Authentication Bypass Using HTTP Verb Tampering

最新推荐文章于 2024-05-08 15:24:52 发布
最新推荐文章于 2024-05-08 15:24:52 发布
阅读量582 收藏
点赞数
文章标签: web.xml java shell
原文链接:http://www.cnblogs.com/meInfo/p/9147571.html
版权

  本次针对 Appscan漏洞 Authentication Bypass Using HTTP Verb Tampering(HTTP动词篡改导致的认证旁路)进行总结,如下:

1. Authentication Bypass Using HTTP Verb Tampering

1.1、攻击原理

  不安全的HTTP方法PUT/DELETE/MOVE/COPY/TRACE/PROPFIND/PROPPATCH/MKCOL/LOCK/UNLOCK允许攻击者修改web服务器文件、删除web页面、甚至上传web shell获取用户的身份信息等,它们都有可能制造出严重的安全漏洞,开发人员需要对HTTP请求类型进行控制,防止服务器资源被非授权篡改。

1.2、案例分析

  APPSCAN用无意义的HTTP动词bogus向服务端发起请求,系统正常返回,显示此系统未对http请求类型进行判断限制,存在HTTP动词篡改漏洞。

BOGUS /fams/admin/j_security_check HTTP/1.1
Accept-Language: en-US
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer: http://xxx-core-stg1.paic.com.cn/fams/
Host: xxx-core-stg1.paic.com.cn
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Win32) 
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Content-Type: text/html;charset=utf-8
Content-Length: 477
Date: Wed, 14 Mar 2018 01:56:23 GMT
1.3、防御建议

  1. 限制http method,如仅允许GET、POST等类型

  2. 使用J2EE标准中提供的Filter方法进行请求类型过滤

  3. 检查tomcat的web.xml,weblogic的weblogic.xml配置,对请求类型进行限制,如:

<security-constraint> 
  <web-resource-collection>
    <url-pattern>/*</url-pattern>
    <http-method>PUT</http-method>
    <http-method>DELETE</http-method>
    <http-method>HEAD</http-method>
    <http-method>OPTIONS</http-method>
    <http-method>TRACE</http-method>
  </web-resource-collection>
  <auth-constraint></auth-constraint>
</security-constraint> 
<login-config>
  <auth-method>BASIC</auth-method>
</login-config>

  4. Struts中使用request.getMethod方法添加请求拦截器,如:

if(method.equalsIgnoreCase("post")||method.equalsIgnoreCase("get")||method.equalsIgnoreCase("head")||method.equalsIgnoreCase("trace")||method.equalsIgnoreCase("connect")||method.equalsIgnoreCase("options")){}

  5. 禁用IIS的WebDAV功能,WebDAV基于 HTTP 1.1 的一个通信协议,它为 HTTP 1.1 添加了一些除GET,POST,HEAD之外的方法,使得应用程序可以直接将文件写到 Web Server 上。

  6. apache的httpd.conf文件中进行如下限制

<Location />  
 <LimitExcept GET POST HEAD CONNECT OPTIONS> 
   Order Allow,Deny 
   Deny from all 
 </LimitExcept> 
 </Location>
1.4、实际修复方案

  1、服务器可以分为Tomcat和WebSphere(WAS)两种,本地为Tomcat,加下2的配置方式,下3的方式主要是针对WAS服务器的。

  2、在web.xml文件中加以上的 <security-constraint> 配置。

  3、 如果是请求的静态资源,把下属字段另存为文件.htaccess   放到静态资源的文件夹下面。

  <LimitExcept GET POST >

  Order deny,allow

  Deny from all

  </LimitExcept>

 

  动态资源的话,需要在java 代码里面实现。 

  参考下官网的limitexcept指令,IHS 就是基于apache,语法一样的。

http://httpd.apache.org/docs/2.4/mod/core.html#limitexcept

 

转载于:https://www.cnblogs.com/meInfo/p/9147571.html

arkqyo2595
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web漏洞扫描之AppScan.pdf
06-23
Web漏洞扫描之AppScan用法教程
AppScan-Authentication Bypass Using HTTP Verb Tampering
码农世界
07-09 3477
话说到盖哥我继前段时间各个行业同时进行各个版本平台的安全测试,为此大忙特忙了一段时间,之后就开始重返之前的工作内容了。   经过之前的工作,也开始有点了解Web安全相关的知识了,虽然买的书还没怎么看,但那时在工作中了解了一些xss,csrf,sql注入等等相关的知识以及怎么去防御。   上周又被甩了一个锅过来,其中一个就是标题描述的缺陷,字面意思翻译过来就是【通过篡改http请求类型来绕过Web
RootMe--HTTP verb tampering
weixin_33827965的博客
04-03 846
题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-verb-tampering 题目提示: 1. HTTP动词修改 2. 身份认证 打开题目有一个登录框,瞎输入密码过不了,按F12点击取消登录框 状态码401,身份未认证,想想题目是HTTP动词修改,尝试修改请求方式 HTTP中有8中请求方式:OPIONS...
Authentication Bypass
Zarkjobs的博客
07-16 677
用API去请求文档,API中含有用户名和key, 再登录主页的时候需要继续检验用户的登录。 1.如http://xxx/?id=xxx&key=xxxx 此连接访问之后不要存cookie即可解决Authentication Bypass的问题。
使用 HTTP 动词篡改的认证旁路 (Http Verb Tempering: Bypassing Web Authentication and Authorization)
热爱生活~热爱工作~热爱每一天~
12-11 4701
Http Verb Tempering: Bypassing Web Authentication and Authorization(使用 HTTP 动词篡改的认证旁路 什么是HTTP动词(HTTP VERB)? 超文本传输协议(HTTP)提供了可以用于在web服务器上执行操作的方法列表。 这些方法中的许多都旨在帮助开发人员在开发或调试阶段部署和测试HTTP应用程序。 如果web服务器配置不当,这些HTTP方法可能被用于恶意目的。 此外,还将检查一些高脆弱性,如跨站点跟踪(XST),这是一种使用
HTTP动词
pz_winner的博客
10-21 2707
对于资源的具体操作类型,由HTTP动词表示。 常用的HTTP动词有下面五个(括号里是对应的SQL命令)。 GET(SELECT):从服务器取出资源(一项或多项)。POST(CREATE):在服务器新建一个资源。PUT(UPDATE):在服务器更新资源(客户端提供改变后的完整资源)PATCH(UPDATE):在服务器更新资源(客户端提供改变的属性)。DELETE(DELETE):从服务器
appscan漏洞扫描工具
07-12
appscan漏洞扫描工具: AppScan的安装 1、解压安装包,双击AppScan_Setup_10.0.0.exe运行,默认下一步安装完成即可。 2、将AppScanStdCrk文件夹中的rcl_rational.dll和AppScanStandard.txt复制到安装根路径下,覆盖...
AppScan安全测试漏洞检测工具10.4版本
12-25
AppScan具有强大的静态、动态、交互式和开源扫描引擎可以部署在开发生命周期的每个阶段,提供完善的漏洞规则库、漏洞扫描引擎、安全性能扫描、云系统集成、Web应用技术和多种代码语言灯
appscan安全漏洞修复
12-21
针对appscan安全漏洞扫描出的漏洞的一些解放方法。 1.不充分账户封锁 2.会话标识未更新 3.跨站点请求伪造 4.启用了不安全的http方法 5.已解密的登录请求
IBM Appscan爆高危漏洞 广大用户需及时修复
10-23
ppscan是IBM发布的一款应用广泛的商用Web应用安全自动化安全扫描工具。杭州安恒信息技术有限公司安全团队研究发现,该软件7.9版本和8.0版本均存在远程溢出漏洞
Lab: Authentication bypass via flawed state machine:通过丢包绕过身份验证登录
Zeker62的博客
08-20 724
靶场内容 该实验室对登录过程中的事件顺序做出了有缺陷的假设。破解实验室,利用该漏洞绕过实验室认证,访问管理界面,删除Carlos。 您可以使用以下凭据登录自己的帐户: wiener:peter 漏洞分析 在 Burp 运行的情况下,完成登录过程并注意您需要在进入主页之前选择您的角色。 使用内容扫描工具来识别/admin路径。 尝试/admin直接从角色选择页面浏览 ,并观察这不起作用。 注销然...
【BUUCTF】[RoarCTF 2019]Easy Java1
qq_44724114的博客
05-08 316
和第3步一样,先hackbar通过post请求【要是再hackbar中execute不动,重新刷新该网址,如还是不行销毁靶机,重开】,进行bp抓包——send到repeater去,然后看repeater的响应。/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在.jar文件中。/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件。
XML解析
woai3364的博客
05-04 218
XML是可扩展标记语言(Extensible Markup Language)可扩展:标签并不止一套(可以扩展)web.xml 有一套标签 servlet servlet-name servlet-class ...约束:由组织去定义,看约束文件如何规定用途异步系统之间进行数据传输的媒介(json代替)配置文件。
java jar包如何运行或调用
最新发布
NLP与推荐算法
05-08 123
java服务启动
C#(C Sharp)学习笔记_类【十五】
追求细节,成就完美
05-01 600
类(Class)是面向对象程序设计(OOP,Object-Oriented Programming)实现信息封装的基础。类是一种用户定义的引用数据类型,也称类类型。每个类包含数据说明和一组操作数据或传递消息的函数。类的实例称为对象。
链表刷题集
yajunjiao的专栏
04-30 959
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Spring Cloud——LoadBalancer
????
05-01 1947
这里只是简单的讲解了一下LoadBalancer如何使用,因为实际上我们使用的不是很多,主要还是使用OpenFeign。
Java8 Stream API全面解析——高效流式编程的秘诀
赵士杰——成功并非一蹴而就,而是在持之以恒的努力中逐渐实现。
05-01 3996
Java8 Stream API全面解析——高效流式编程的秘诀
appscan漏洞扫描使用说明
07-14
AppScan是一款流行的漏洞扫描工具,用于识别和评估Web应用程序中的安全漏洞。以下是AppScan漏洞扫描的基本使用说明: 1. 安装和配置:下载并安装AppScan,然后按照提供的指南进行基本配置。确保您的系统满足最低...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值