漏洞:不安全的http请求方法,tomcat 禁用http method。代码解决

最新推荐文章于 2024-02-11 14:14:52 发布
最新推荐文章于 2024-02-11 14:14:52 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: tomcat http web 文章标签: java web.xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bnmnba/article/details/84913589
版权
tomcat 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
http
4 篇文章 0 订阅
订阅专栏
web
3 篇文章 0 订阅
订阅专栏

问题描述:通过fiddler,使用raw重现HTTP请求,修改GET为TRACE重新请求。tomcat返回405,head 包含

Allow:POST,GET,DELETE,OPTIONS,PUT,HEAD

解决方法:使用filter进行过滤和处理。

1.修改tomcat的server.xml,允许trace方法:<Connector allowTrace="true"

 

2.修改web.xml,添加filter

  <filter>
    <filter-name>filterUtil</filter-name>
    <filter-class>com.utils.FilterUtil</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>filterUtil</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

 

 

3.添加filter类

package com.utils;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class FilterUtil implements Filter {
	Logger log=LoggerFactory.getLogger(this.getClass());
	
	@Override
	public void destroy() {
		
	}

	@Override
	public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)
			throws IOException, ServletException {
	    HttpServletRequest request = (HttpServletRequest) arg0;
	    HttpServletResponse response = ((HttpServletResponse) arg1); 
		String m=request.getMethod();
		if(!"GET".equals(m)&&!"POST".equals(m)){
			System.out.println("GET or POST only  ");
			response.setHeader("Allow", "GET,POST");
			response.setStatus(405);
			return;
		}
		arg2.doFilter(arg0, arg1);
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
	}
	
}

 按错误的method请求即可看到效果:

 

bnmnba
关注
专栏目录
安全HTTP方法漏洞验证测试
afei001
12-27 1744
目录 1.前言 2.不安全HTTP方法介绍 3.不安全HTTP方法漏洞验证 (1)使用curl工具验证 (2)Burp抓包验证 4.漏洞修复 1.前言 前两天在对目标网站进行安全性测试时,偶然发现一处页面的请求头中允许了put、delete等不安全HTTP方法。这是不符合网站合规性要求的,一旦被攻击者利用很可能对业务造成影响甚至服务器沦陷。 2.不安全HTTP方法介绍 通常所说的HTTP安全方法有:trace、put、delete、copy等。...
Tomcat--启动了不安全HTTP方法解决办法
热门推荐
JustinQin
11-18 1万+
一、问题描述 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。 二、解决办法 把他们关闭即可!!! 添加以下节点代码web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加,也可以在tomcat/conf/web.xml中添加 ...
启用了不安全http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
安全HTTP请求 漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
02-11 3603
安全HTTP请求 漏洞原理以及修复方法
tomcat禁用安全http方法
serisboy的专栏
12-22 404
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
tomcat 禁用安全http请求方式
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
tomcat 配置,自动跳转,禁用method
wurd的博客
02-20 396
<!-- 自动跳转/redirectPort="8443" --> <security-constraint> <web-resource-collection> <web-resource-name>SSL</web-resource-name> <url-pattern>/*&l...
关于HTTP协议禁用不常用方法漏洞解决方案.docx
08-07
### 关于HTTP协议禁用不常用方法漏洞解决方案 #### 漏洞概述 在网络通信中,HTTP(超文本传输协议)是客户端与服务器之间进行数据交换的主要方式之一。HTTP定义了一系列请求方法来规范交互过程,包括但不限于GET...
spring boot使用内嵌的tomcat解决安全HTTP方法安全漏洞
牛奋lch
08-04 1万+
最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--不安全HTTP方法,如果对这个安全漏洞有不明白的地方,可以自行问度娘。 1、传统Web项目的解决方案 在不使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于不是http安全方法直接给前端返回错误信息;2、在tomcatweb.xml配置,对不安全方法进行拦截。下面,我们重点说下第二种方案,因为
禁用WebDAV-Tomcat(检测到目标URL启用了不安全HTTP方法
zjxeastchi的博客
09-19 3991
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcatweb.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
Weblogic与Tomcat中不安全HTTP方法排查与解决
解决这个问题的方法是定位到Weblogic安装目录下的特定war包(bea_wls_deployment_internal.war、bea_wls_management_internal2.war、bea_wls_diagnostics.war),并在web-Info/web.xml文件中添加来限制这些不安全的...
Tomcat启动了不安全HTTP方法解决办法
liangpingguo的博客
10-27 3584
一、漏洞描述: 目标服务器启用了不安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。
HTTP TRACE / TRACK Methods Allowed 漏洞修复
a815616653的博客
11-26 5120
httpd.conf添加 TraceEnable off 1
禁用WebDAV-tomcat
xm_koma的专栏
07-20 853
     由于要处理一份关于公司的一个公众用户网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法禁用。       WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一...
[安全]检测出项目内的安全漏洞,如启用了不安全HTTP方法,会话Cookie中缺少某某属性等
PerryHsu的博客
07-04 1754
目录 1.启用了不安全HTTP方法 2.开启OPTIONS方法 3.错误页面Web应用服务器版本泄露 4.X-Frame-Options Header未配置 5.会话Cookie中缺少secure/HttpOnly属性 6.敏感目录 前段时间收到了第三方发过来的网站安全评估报告,发现我所管理的很多项目有各种漏洞,总结下来如下,做个笔记以便后续自己写项目时注意避免和修正,...
web渗透--12--不安全HTTP方法
武天旭的博客
09-11 1万+
1、漏洞描述: 不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示: 方法 解释 PUT 向指定的目录上传文件 ...
WEB项目HTTP HEADER常见的安全漏洞
m0_37049740的博客
03-12 2815
WEB项目中有些常见的漏洞,是大家都没注意到或者不了解的。这当中涉及了前后端程序设计的安全问题,也有HTTP 报文头的常见漏洞,如XSS等。这里梳理一些常见的漏洞,给大家做说明与提供一套解决方案。
Java服务启用不安全http方法解决方式
说不如做
08-20 1717
说明 如果启用了不必要的HTTP方法可能会带来安全问题,如果启用了不必要的HTTP方法可能会带来安全问题。 解决方式是可以禁用掉不必要的方法解决 进入tomcat下修改conf目录的web.xml信息。 打开web.xml vim web.xml 添加如下配置信息: <security-constraint> <web-resource-collection> <web-resource-name>fortune</web-reso
tomcat禁用不必要的http方法
pursue.dreams的博客
08-20 1339
1、打开tomcat/conf/web.xml文件 加入以下配置,将之前的web-app标签进行覆盖 <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值