漏洞:不安全的http请求方法,tomcat 禁用http method。代码解决

最新推荐文章于 2024-02-11 14:14:52 发布
最新推荐文章于 2024-02-11 14:14:52 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: tomcat http web 文章标签: java web.xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bnmnba/article/details/84913589
版权
tomcat 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
http
4 篇文章 0 订阅
订阅专栏
web
3 篇文章 0 订阅
订阅专栏

问题描述:通过fiddler,使用raw重现HTTP请求,修改GET为TRACE重新请求。tomcat返回405,head 包含

Allow:POST,GET,DELETE,OPTIONS,PUT,HEAD

解决方法:使用filter进行过滤和处理。

1.修改tomcat的server.xml,允许trace方法:<Connector allowTrace="true"

 

2.修改web.xml,添加filter

  <filter>
    <filter-name>filterUtil</filter-name>
    <filter-class>com.utils.FilterUtil</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>filterUtil</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

 

 

3.添加filter类

package com.utils;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class FilterUtil implements Filter {
	Logger log=LoggerFactory.getLogger(this.getClass());
	
	@Override
	public void destroy() {
		
	}

	@Override
	public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)
			throws IOException, ServletException {
	    HttpServletRequest request = (HttpServletRequest) arg0;
	    HttpServletResponse response = ((HttpServletResponse) arg1); 
		String m=request.getMethod();
		if(!"GET".equals(m)&&!"POST".equals(m)){
			System.out.println("GET or POST only  ");
			response.setHeader("Allow", "GET,POST");
			response.setStatus(405);
			return;
		}
		arg2.doFilter(arg0, arg1);
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
	}
	
}

 按错误的method请求即可看到效果:

 

bnmnba
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
method-override:覆盖HTTP动词
02-04
方法重写 使您可以在客户端不支持的位置使用HTTP动词,例如PUT或DELETE。 安装 这是通过提供的模块。 使用完成 : $ npm install method-override API 注意在需要了解请求方法的任何模块之前使用此模块非常重要(例如,必须在csurf模块之前使用它)。 methodOverride(getter,选项) 创建一个新的中间件函数,以新值覆盖req.method属性。 该值将从提供的getter提取。 getter用于查找请求的重写请求方法的getter。 (默认值: X-HTTP-Method-Override ) options.methods
安全HTTP方法,阿里面试官
最新发布
2401_83739821的博客
04-14 518
义、实战项目、讲解视频,并且后续会持续更新**
安全http方法
热门推荐
秋水的博客
09-06 1万+
本章节所需工具burp和curl curl下载地址:https://curl.haxx.se/download.html 漏洞简介 什么是http方法? 根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。 HTTP1.0定义了三种请求方法: GET、POST、HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNEC...
安全HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 840
安全HTTP请求 漏洞原理以及修复方法
每日漏洞 | 不安全HTTP方法
03-12 965
HTTP认为的那些不安全HTTP方法中,安全界认为PUT、DELETE、TRACE是不安全的,另外WebDAV中的几个方法,RFC 5789中的PATCH方法也被认为是不安全的。不过要注意的是,在验证PUT和DELETE的时候,不要在原有资源上进行操作,一定要指定一个不存在的资源,比如先PUT一个文件上去,然后DELETE刚才创建的文件,只要证明支持不安全HTTP方法即可,那我们将OPTIONS方法修改为TRACE方法试试,如果响应包主体中包含接收到的请求,则证明支持TRACE方法,系统存在漏洞
安全HTTP方法
MingShenfree的博客
10-30 768
WebDAV(web-based Distributed Auhoring and Versioning) 一种基于HTTP1.1协议的通讯协议。它拓展了HTTP1.1,在GET,POST,HEAD等请求方式的基础上添加了新的请求方法。 WebDAV安全隐患: PUT:由于PUT方法自身不带验证机制,利用PUT方法可以向服务器上传文件,攻击者可以上传木马等恶意文件。 DELETE:利用DELETE方法可以删除服务器上特定的资源,造成恶意攻击 OPTIO...
漏洞修复:Often Misused: HTTP Method Override
CutelittleBo的博客
01-28 2448
描述 In order to protect access to various resources, web servers may be configured to prevent the usage of specific HTTP verbs. However, some web frameworks provide a way to override the HTTP method in the request by supplying specific HTTP request headers.
HTTP TRACE / TRACK Methods Allowed 漏洞修复
a815616653的博客
11-26 4805
httpd.conf添加 TraceEnable off 1
HOWTO:在 Tomcat禁用 HTTP 方法
allway2的博客
07-21 1673
安全相关扫描中出现的一个常见项目是网站或Web应用程序中允许的HTTP方法。对于我们这些使用ApacheTomcat而不是像Apache或IIS这样的前端Web服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。安全约束虽然不如ApacheWeb服务器中的那些完整,但却是保护Web应用程序的一种非常有用的方法。本HOWTO专注于在指定的URI上禁用HTTP方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。...
tomcat禁用不必要的http方法
pursue.dreams的博客
08-20 1231
1、打开tomcat/conf/web.xml文件 加入以下配置,将之前的web-app标签进行覆盖 <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2
web安全tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
01-10
它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还...
安全http方法、CSRF等漏洞修复问题
01-07
安全http方法、CSRF漏洞修复问题
tomcat同时使用httphttps访问的配置方法
01-10
针对一个tomcat中有的项目需要使用ssl加密有些可以直接访问的情况,可通过修改tomcat/conf下的server.xml来实现。具体配置可参考下面这段代码,注意”Catalina1″>这个标签中的配置。 <?xml version='1.0' ...
tomcat禁用安全http方法
lionzl的专栏
11-19 1348
 tomcat禁用安全http方法 博客分类:  java tomcatwebDav  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了
X-HTTP-Method-Override和Http Extension框架
软件开发资料汇总
01-03 339
原文:X-HTTP-Method-Override and HTTP Extension Framework 在读完 GDatas X-HTTP-Method-Override header后,我不禁猜测是否Google那帮人会和我们得到同样的结论。SOAP最初的草案就是建立在 HTTP Extension Framework之上的。在那些早期的草案中,如果存在通过Web构架来获取M-POST方
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 3055
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
TOMCAT禁用请求类型,如TRACE,HEAD,PUT,DELETE,OPTIONS等
qq_34192626的博客
10-12 3325
项目中常用的请求方式有GET和POST,但除了这之外还有TRACE,HEAD,PUT,DELETE,OPTIONS。由于安全目的,通常会禁用除GET和POST之外的请求方式。 经过测试,在tomcatweb.xml配置文件最后加上请求方式限制,配置如下: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="...
tomcat8禁用不常用的HTTP方法(内附不生效的解决方法
勤奋的小码农的博客
03-28 2766
tomcat8禁用不常用的HTTP方法说明配置方法坑爹的地方结果验证 说明        HTTP/1.1协议中共定义了八种方法(有时也叫“动作”)来表明Request-URI指定的资源的不同操作方式:        OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请...
tomcat:http状态 404 - 未找到解决方法
06-28
### 回答1: TomcatHTTP状态404表示请求的资源未找到。解决方法可能包括以下几个方面: 1. 检查URL是否正确,确保请求的资源存在于服务器上。 2. 检查Tomcat的配置文件,确保应用程序的上下文路径和URL匹配。 3. 检查应用程序的部署路径,确保资源存在于正确的位置。 4. 检查Tomcat的日志文件,查看是否有任何错误或异常信息。 5. 重新启动Tomcat服务器,有时候这可以解决问题。 6. 如果以上方法都无法解决问题,可以尝试重新部署应用程序或重新安装Tomcat服务器。 ### 回答2: Tomcat是一个流行的Java Web服务器,在服务器处理网页请求时,经常会发生404错误,这是因为服务器无法找到所请求的资源。以下是解决这个问题的一些方法: 1. 检查URL是否正确。首先,您应该检查您输入的URL是否正确,因为如果URL拼写不正确,服务器将无法找到该资源。确保使用正确的大小写和正确的文件扩展名。 2. 检查文件路径。如果您确定URL是正确的,那么您应该检查该文件是否真的存在于服务器上。在Tomcat服务器上,您应该检查文件是否位于正确的文件路径中。 3. 检查文件权限。如果文件路径正确,则可能是因为权限问题而无法访问文件。您可以尝试更改文件的权限以允许Web服务器访问。 4. 清除缓存。有时,服务器可能无法在缓存中找到所请求的资源。您可以尝试清除服务器的缓存并重新启动服务器,然后再次尝试访问网页。 5. 检查服务器配置。如果所有其他方法都失败了,您应该检查服务器的配置文件以确保文件和文件路径正确。您还可以查看Tomcat日志文件以获取更多信息,并修复任何错误。 总的来说,要解决Tomcat的404错误,您需要仔细检查URL、文件路径、文件权限、缓存和服务器配置。通过这些步骤,您应该能够找到并解决问题,并让您的Web服务器正常运行。 ### 回答3: 一般情况下,tomcat:http状态 404 - 未找到是指在请求某个页面时,服务器无法找到客户端所请求的资源。造成这种情况的原因可能是多方面的,下面列举几种常见的解决方法: 1. 检查URL路径是否正确:确保在输入URL时没有出现拼写错误或者其他输入错误。URL路径应该和资源的实际文件路径一致。 2. 确认资源是否存在:当请求某个资源时,如果在服务器中不存在对应的文件,就会返回404错误。因此,需要确认所请求的资源实际上是否存在于服务器中。如果资源确实存在,可以尝试重启服务器等措施来解决问题。 3. 检查权限设置:如果所请求的资源受到权限限制,而客户端没有足够的权限来访问该资源,也会返回404错误。因此,需要确保所请求的资源没有被设置为只有特定的用户或用户组才能访问。 4. 检查服务器配置:如果发生404错误,有可能是因为服务器配置错误导致的。例如,如果服务器上安装了防火墙或者某些安全软件,这些软件可能会阻止客户端访问某些资源,从而导致404错误。因此,需要检查服务器的安全设置,确保客户端可以正常访问所需的资源。 总之,要解决tomcat:http状态 404 - 未找到问题,需要先确认所请求的资源是否存在,检查URL路径和权限设置是否正确,以及检查服务器配置是否出错。只有在找出问题所在后,才能有针对性地解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值