tomcat wedav 禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序

最新推荐文章于 2021-07-15 19:09:14 发布
最新推荐文章于 2021-07-15 19:09:14 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 运维 文章标签: tomcat webdav
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen3888015/article/details/7992841
版权

IDC那边发了份安全报告过来要求修复 ,主要是要tomcat配置项目文件web.xml文件关闭WebDav支持

  • 漏洞信息 

         低危

            开启options方法

URL

https://222.76.126.53/

弱点

method_unsafe:GET,HEAD,POST,PUT,DELETE,OPTIONS

请求报文

OPTIONS / HTTP/1.1 Host: 222.76.126.53 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Accept: */* Accept-Encoding: gzip,deflate  

修复建议

点击查看修复建

           启用了不安全的HTTP方法

 

URL

https://222.76.126.53/

弱点

method_unsafe:PUT,DELETE

请求报文

OPTIONS / HTTP/1.1 Host: 222.76.126.53 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Accept: */* Accept-Encoding: gzip,deflate  

修复建议

点击查看修复建议

修复建议

       低危漏洞修复建议

          开启options方法

漏洞名称

开启options方法

漏洞描述

弱点描述:Web服务器配置为允许使用危险的HTTP方法,如PUT、MOVE、COPY、DELETE、PROPFIND、SEARCH、MKCOL、LOCK、UNLOCK、PROPPATCH,该配置可能允许未授权的用户对Web服务器进行敏感操作。

修复建议

一般性的建议:[1]如果服务器不需要支持WebDAV请禁用WebDAV,或禁用掉不安全的HTTP方法,IIS在IIS服务中的"Web服务扩展"中关闭WebDav。

CVSS 3.0

5.3

CVE编号

--

CNNVD编号

--

漏洞信息

点击回到漏洞信息   

          启用了不安全的HTTP方法

漏洞名称

启用了不安全的HTTP方法

漏洞描述

弱点描述:Web服务器配置为允许使用危险的HTTP方法,如PUT、MOVE、COPY、DELETE、PROPFIND、SEARCH、MKCOL、LOCK、UNLOCK、PROPPATCH,该配置可能允许未授权的用户对Web服务器进行敏感操作。

修复建议

一般性的建议:如果服务器不需要支持WebDAV请禁用WebDAV,或禁用掉不安全的HTTP方法,IIS在IIS服务中的"Web服务扩展"中关闭WebDav。

CVSS 3.0

6.5

CVE编号

--

CNNVD编号

--

漏洞信息

点击回到漏洞信息

  • WEBDAV介绍

WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。

比如tomcat的一个漏洞可以通过put写入文件(很早了),如果tomcat本身不允许put请求,那就利用不了WEBDAV漏洞

  • 禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序

第一步:修改应用程序的web.xml文件的协议
<?xml version="1.0" encoding="UTF-8"?> 
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
 version="2.4">
第二步:在应用程序的web.xml中添加如下的代码即可
<security-constraint> 
 <web-resource-collection> 
  <url-pattern>/*</url-pattern> 
  <http-method>PUT</http-method> 
<http-method>DELETE</http-method> 
<http-method>HEAD</http-method> 
<http-method>OPTIONS</http-method> 
<http-method>TRACE</http-method> 
 </web-resource-collection> 
 <auth-constraint> 
 </auth-constraint> 
 </security-constraint> 
 <login-config> 
 <auth-method>BASIC</auth-method> 
 </login-config>

 

 

福海鑫森
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Tomcat 应用程序备份
09-20
【标题】:“Tomcat 应用程序备份”指的是在运行Tomcat服务器时,为了防止数据丢失或系统故障,对部署在Tomcat上的应用程序进行备份的过程。这个过程通常包括备份应用程序的WAR文件、配置文件以及相关的数据库连接...
JBuilder2005开发Web应用程序
01-08
JBuilder是一个开放的Java IDE,它集成了Tomcat、Weblogic等服务器。虽然JDK、Tomcat、Weblogic不断升级,我们仍可以在JBuilder中使用它们的最新版本。由于Tomcat服务器的配置比较复杂,习惯了Windows平台的程序员...
[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETEPUTOPTIONS协议访问应用程序/tomcat下禁用不安全的http方法...
weixin_34357887的博客
10-19 804
使用了360网站安全检测 查到有OPTIONS方法 百度了下 https://my.oschina.net/maliang0130/blog/338725 找到这个方法奈何http.conf 找不到无论在tomcat目录里还是linux路径下的/usr/etc或者apache2 最后通过开源中国找到 第一步:修改应用程序的web.xml文件的协议 &lt;?xml version="1.0" e...
如何禁止DELETEPUTOPTIONSTRACEHEAD协议访问应用程序
tanghongming2012的专栏
07-20 2100
简介  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
热门推荐
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETEPUTTRACE、MOVE、COPY、OPTIONS等HTTP请求方法,降低可攻击性。 解决办法 在tomcat的web.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
tomcat 禁用不安全的http请求模式(转)
iteye_4720的博客
12-14 554
tomcat 禁用不安全的http请求方式(转) 1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy /* PUT DELETE HEAD OPTIONS ...
【安全扫描问题】在Web服务器上禁用OPTIONS方法
IOS_Mainstay的博客
08-07 1万+
1、修改web.xml 中的引入 &lt;web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" xsi:schemaLocation="http://j...
TOMCAT禁用请求类型,如TRACE,HEAD,PUT,DELETE,OPTIONS
qq_34192626的博客
10-12 3590
项目中常用的请求方式有GET和POST,但除了这之外还有TRACE,HEAD,PUT,DELETE,OPTIONS。由于安全目的,通常会禁用除GET和POST之外的请求方式。 经过测试,在tomcat的web.xml配置文件最后加上请求方式限制,配置如下: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="...
Tomcat8.0以上不再支持PUTDELETE解决方法。
我是一名保安
03-17 1186
SpringMVC中使用REST风格,在使用PUTDELETE请求方式时,过滤器和项目代码都没有错,但是还是一直报错405。 那是因为Tomcat8.0以上不再支持PUTDELETE。 解决方法:在实现转发的jsp文件的首行添加: isErrorPage="true"就行了。 ## 害,今天又熬夜了。 ...
在docker中部署tomcat并且部署java应用程序的步骤详解
01-10
Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。 1、先说...
REST 测试工具(HTTP PUT DELETE方法支持)
10-24
HTA文件,只能在WINDOWS下运行。支持任意HTTP头信息, 可以选择查看HTTP返回的头信息。 POST请求会自动加上Content-Type:application/x-www-form-urlencoded 用MDB保存提交数据功能,非常适合HTTP调试。
嵌入式tomcat虚拟目录服务器应用程序源代码
09-26
嵌入式Tomcat虚拟目录服务器应用程序源代码是一个用于创建和管理虚拟目录的高效解决方案,它无需用户手动安装完整的Apache Tomcat服务器。这个程序的核心在于它能够集成到Java虚拟机(JVM)中,使得开发者或者系统...
不同层面禁用PUTDELETEHEADTRACEOPTIONS请求方式
朱晓龙的博客
05-14 7018
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用 从tomcat来禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
tomcat 禁用trace,put,head,post,delete 请求方式
shuxiansheng1的博客
07-15 3589
背景 项目中请求方式只有GET,POST请求,处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式。 实现 在tomcat的web.xml配置 文件最后加上请求方式限制,配置如下,本次使用的tomcat8 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
如何禁止DELETEPUTOPTIONS协议访问应用程序/tomcat下禁用不安全的http方法
lionzl的专栏
09-14 3729
WEB服务器启用了OPTIONS方法/如何禁止DELETEPUTOPTIONS协议访问应用程序/tomcat下禁用不安全的http方法 2017-03-06 13:39 1135人阅读 评论(0) 收藏 举报  分类: 服务器(3)  [轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETEPUTOPTIONS协议访问应用程序/to
如何禁止不必要的 HTTP 方法,如DELETEPUTOPTIONS协议访问应用程序
BabyFace゛‐尐蔡。的博客
02-01 1万+
一、修改应用程序的server.xml文件的协议为HTTPS,       disableUploadTimeout="true" enableLookups="false" maxThreads="25"      keystoreFile="d:\tomcat.keystore" keystorePass="111111"     protocol="org.apache.coyote
Tomcat禁用 OPTIONSTRACE 并隐藏 Apache-Coyote/1.1 并启动APR模式
chuai5828的博客
07-24 1131
其实禁用OPTIONSTRACE 等动词就是禁用webdev协议 打开tomcat–>conf–>web.xml 文件: 将以下代码注释或删除: <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" x...
Web应用程序开发:概念与实践
它们通常以资料夹的形式组织,同一Web应用的所有网页都位于同一个资料夹内,并在JSP容器(如Tomcat或Resin)中配置,使得该资料夹及其子资料夹下的JSP页面成为一个完整的Web应用。 Web应用的定义通常是基于资料夹...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

福海鑫森

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值