检测到目标服务器启用了options方法(漏洞)

最新推荐文章于 2024-08-23 17:58:47 发布
最新推荐文章于 2024-08-23 17:58:47 发布
阅读量2.4w 收藏 9
点赞数
分类专栏: javaWeb 漏洞 文章标签: 漏洞

转自:[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法

第一步:修改应用程序的web.xml文件的协议

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" 
    xmlns="http://java.sun.com/xml/ns/javaee" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
    http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

第二步:在应用程序的web.xml中添加如下的代码即可

<security-constraint>
    <web-resource-collection>
        <web-resource-name>baseproject</web-resource-name>
        <url-pattern>/*</url-pattern>
		<http-method>PUT</http-method>
		<http-method>DELETE</http-method>
		<http-method>HEAD</http-method>
		<http-method>OPTIONS</http-method>
		<http-method>TRACE</http-method>
	</web-resource-collection>
	<auth-constraint>
		<description>baseproject</description>
		<role-name>All Role</role-name>
	</auth-constraint>
</security-constraint>
<login-config>
    <auth-method>BASIC</auth-method>
</login-config>

重新部署程序,重启tomcat即可完成

如果用户要验证既可以将POST和GET也添加在其中,重新部署并启动tomcat即可看到效果

以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。

 

wangsaisoon
关注
专栏目录
Apache WEB服务器启用OPTIONS方法
安素
06-28 7712
使用Apache的重写规则来禁用Options方法和Trace方法在Apache配置文件httpd.conf中添加以下代码:单独禁用Trace方法:RewriteEngine On RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F]单独禁用Options方法:RewriteEngine On RewriteCond %...
禁用WebDAV-Tomcat(检测目标URL启用了不安全的HTTP方法
zjxeastchi的博客
09-19 3956
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
漏洞修复:检测目标服务器启用OPTIONS方法
yjfkeifk的博客
07-01 1232
IIS+asp.net网站,使用绿盟和。
nginx设置X-Frame-Options
最新发布
weixin_46742102的博客
08-23 1157
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。DENY :表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。ALLOW-FROM uri :表示该页面可以在指定来源的 frame 中展示。SAMEORIGIN :表示该页面可以在相同域名页面的 frame 中展示。重新加载:nginx -s reload。
检测目标服务器启用OPTIONS方法
努力明天会更好的博客
06-08 5779
添加个拦截器,即可解决 public class ConfigInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { // 解决安全漏洞检测目标服务器启用OPTIONS方法 response.setHe
目标服务器开启了不安全的HTTP方法OPTIONS方法
wxd110119120的专栏
03-08 6838
产生原因: 未对OPTIONS进行禁用处理。 解决办法: 对IIS管理器中的 功能视图》授权规则 设置了只允许GET, HEAD, POST 特定谓词。
通过options探测服务器信息,WEB服务器启用OPTIONS方法
weixin_30843553的博客
08-10 2152
漏洞描述攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法:windows2008、windows2012,请在wwwroot目录建立web.config,内容如下windows 2003,打开控制面板-ISAPI筛选器-启用自定义重写组件,然后编辑httpd.conf,如果您已有其他规则,请添加到最上面RewriteEngine on...
启用了不安全的http方法漏洞
01-09
在web.xml文件中配置下面一段内容 <url-pattern>/* <http-method>PUT <http-method>DELETE ... <http-method>OPTIONS <http-method>TRACE <auth-method>BASIC </login-config>
IIS漏洞
scu_hacker博客
01-18 3408
一、PUT文件写入 1.1 影响范围 IIS6.0 1.2 漏洞详情 由于IIS开启了扩展webDAV,并且配置了写入权限,导致可以上传文件 可以首先抓包使用OPTIONS方法查看能够使用的http方法 然后使用PUT方法上传一个jsp内容的txt文件 接着使用MOVE方法将此txt文件移动到其他地方并且改名为.asp文件 然后直接连接就行。 二、短文件漏洞 2.1 漏洞原理 为了兼容DOS命令,windows为长文件名文件生成...
Apache服务器关闭TRACE Method请求方式的方法
01-20
支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭Apache的TRACE请求 •虚拟主机用户...
织梦网站服务器 开启服务,WEB服务器启用OPTIONS方法
weixin_32137855的博客
08-11 434
漏洞名称:WEB服务器启用OPTIONS方法危险等级:★☆☆☆☆(轻危)漏洞类型:配置错误披露时间:2015-09-14漏洞描述:攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法:windows2008、windows2012,请在wwwroot目录建立web.config,内容如下windows 2003,打开控制面板-ISAPI...
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法漏洞修复
LENGTH18的博客
08-27 4243
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
OPTIONS 漏洞修复
Z
12-22 7038
OPTIONS 漏洞修复。主要包括三种情况:更改 Nginx 配置、更改 Tomcat 配置、SpringBoot 项目增加过滤器。
[轻微]WEB服务器启用OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
热门推荐
QC班长的博客
06-10 1万+
使用了360网站安全检测 查到有OPTIONS方法 第一步:修改应用程序的web.xml文件的协议 xml version="1.0" encoding="UTF-8"?> web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema
启用了不安全的http请求方法 OPTIONS
星语惜馨的博客
10-22 5881
tomcat配置: 在tomcat的web.xml中添加如下的代码后重启tomcat,注意添加后只对tomcat下的目录有效。参照所需禁用的http方法添加。 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
通过OPTIONS探测服务器信息
m0_49025459的博客
02-06 1946
HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。客户端可以对特定的 URL 使用 OPTIONS 方法,也可以对整站(通过将 URL 设置为“*”)使用该方法options 请求就是预检请求,可用于检测服务器允许的 http 方法。当发起跨域请求时,由于安全原因,触发一定条件时浏览器会在正式请求之前自动先发起 OPTIONS 请求,即 CORS 预检请求,服务器若接受该跨域请求,浏览器才继续发起正式请求。
启用了不安全的“OPTIONS”HTTP方法 - OPTIONS *
akaiyijian001的博客
05-04 1926
方法,该方法被认为是危险的,部分漏扫工具会认为其用了WebDAV。通过源码debug,tomcat会对。通过构造请求进行源码debug。请求时,响应报文请求头。进行特殊处理,该实现在。
漏洞修复】检测目标URL启用了不安全的HTTP方法
LIARRR的博客
04-20 1448
检测目标Web服务器配置成允许下列其中一个(或多个)HTTP 方法OPTIONS,DELETE, SEARCH,COPY,MOVE, PROPFIND, PROPPATCH, MKCOL ,LOCK ,UNLOCK。这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。
Tomcat配置错误:启用不安全HTTP方法漏洞分析
"启用了不安全的HTTP方法漏洞通常出现在Web应用程序的配置中,特别是Tomcat服务器的`web.xml`文件。此问题涉及到允许不受限制地使用潜在危险的HTTP请求方法,如PUT、DELETE、HEAD、OPTIONS和TRACE,这可能为攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值