IDC那边发了份安全报告过来要求修复 ,主要是要tomcat配置项目文件web.xml文件关闭WebDav支持
-
漏洞信息
URL | https://222.76.126.53/ |
弱点 | method_unsafe:GET,HEAD,POST,PUT,DELETE,OPTIONS |
请求报文 | OPTIONS / HTTP/1.1 Host: 222.76.126.53 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Accept: */* Accept-Encoding: gzip,deflate |
修复建议 |
URL | https://222.76.126.53/ |
弱点 | method_unsafe:PUT,DELETE |
请求报文 | OPTIONS / HTTP/1.1 Host: 222.76.126.53 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E; rv 11.0) like Gecko Accept: */* Accept-Encoding: gzip,deflate |
修复建议 |
修复建议
漏洞名称 | 开启options方法 |
漏洞描述 | 弱点描述:Web服务器配置为允许使用危险的HTTP方法,如PUT、MOVE、COPY、DELETE、PROPFIND、SEARCH、MKCOL、LOCK、UNLOCK、PROPPATCH,该配置可能允许未授权的用户对Web服务器进行敏感操作。 |
修复建议 | 一般性的建议:[1]如果服务器不需要支持WebDAV请禁用WebDAV,或禁用掉不安全的HTTP方法,IIS在IIS服务中的"Web服务扩展"中关闭WebDav。 |
CVSS 3.0 | 5.3 |
CVE编号 | -- |
CNNVD编号 | -- |
漏洞信息 |
漏洞名称 | 启用了不安全的HTTP方法 |
漏洞描述 | 弱点描述:Web服务器配置为允许使用危险的HTTP方法,如PUT、MOVE、COPY、DELETE、PROPFIND、SEARCH、MKCOL、LOCK、UNLOCK、PROPPATCH,该配置可能允许未授权的用户对Web服务器进行敏感操作。 |
修复建议 | 一般性的建议:如果服务器不需要支持WebDAV请禁用WebDAV,或禁用掉不安全的HTTP方法,IIS在IIS服务中的"Web服务扩展"中关闭WebDav。 |
CVSS 3.0 | 6.5 |
CVE编号 | -- |
CNNVD编号 | -- |
漏洞信息 |
-
WEBDAV介绍
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。
比如tomcat的一个漏洞可以通过put写入文件(很早了),如果tomcat本身不允许put请求,那就利用不了WEBDAV漏洞
-
禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序
第一步:修改应用程序的web.xml文件的协议
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
version="2.4">
第二步:在应用程序的web.xml中添加如下的代码即可
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>