启用了不安全的HTTP方法解决方案

最新推荐文章于 2024-07-23 09:20:09 发布
最新推荐文章于 2024-07-23 09:20:09 发布
阅读量484 收藏
点赞数
文章标签: web.xml java
原文链接:https://my.oschina.net/xlyslr/blog/718479
版权

近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。

1.启用了不安全的HTTP方法

问题是这样描述的:

检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,MOVE,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK,PUT。

响应头信息如下:

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
Content-Length: 0
Date: Mon, 25 Jul 2016 10:12:23 GMT

我们首先了解一下这几个方法的由来:HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法;HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 WebDAV完全采用了HTTP1.1的方法,扩展了一些方法,并扩展了一些其他方法:

  • Options、Head、Trace:主要由应用程序来发现和跟踪服务器支持和网络行为;
  • Get:检索文档;
  • Put和Post:将文档提交到服务器;
  • Delete:销毁资源或集合;
  • Mkcol:创建集合
  • PropFind和PropPatch:针对资源和集合检索和设置属性;
  • Copy和Move:管理命名空间上下文中的集合和资源;
  • Lock和Unlock:改写保护

很显然上述操作明细可以对web服务器进行上传、修改、删除等操作,对服务造成威胁。虽然WebDAV有权限控制但是网上一搜还是一大堆的攻击方法,所以如果不需要这些方法还是建议直接屏蔽就好了。

下面就来详细说一下解决方案: 最简单的方式就是修改WEB应用的web.xml部署文件。在里面插入下面几行代码就搞定了,把需要屏蔽的方法加在里面。如果应用包比较多也没必要一个个改,直接修改Tomcat的web.xml就可以了,这样在Tomcat中运行的实例都会有效。

		<security-constraint>
			<web-resource-collection>
				<web-resource-name>fortune</web-resource-name>
				<url-pattern>/*</url-pattern>
				<http-method>PUT</http-method>
				<http-method>DELETE</http-method>
				<http-method>HEAD</http-method>
				<http-method>OPTIONS</http-method>
				<http-method>TRACE</http-method>
			</web-resource-collection>
			<auth-constraint></auth-constraint>
		</security-constraint>
  • <security-constraint>用于限制对资源的访问;
  • <auth-constraint>用于限制那些角色可以访问资源,这里设置为空就是禁止所有角色用户访问;
  • <url-pattern>指定需要验证的资源
  • <http-method>指定那些方法需要验证

重启服务再验证就不会存在这个问题了。

转载于:https://my.oschina.net/xlyslr/blog/718479

chengyanshan0701
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web 应用程序报告: 启用了不安全的“OPTIONSHTTP 方法 建议:禁用 WebDAV,或者禁止不需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 4928
Web 应用程序报告 有一项叫做启用了不安全的“OPTIONSHTTP 方法 然后他会建议 禁用WebDAV,或者禁止不需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
启用安全HTTP方法解决方案
热门推荐
水调码头
07-26 1万+
近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。1.启用了不安全HTTP方法问题是这样描述的: 检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,MOVE,PROPFIND,PROPPATCHMKCOLLOCK,UNLOCK,PUT。
4.1.HTTP网络请求原理
深情小建
09-18 653
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
启用了不安全的“OPTIONSHTTP方法 - OPTIONS *
akaiyijian001的博客
05-04 1627
方法,该方法被认为是危险的,部分漏扫工具会认为其用了WebDAV。通过源码debug,tomcat会对。通过构造请求进行源码debug。请求时,响应报文请求头。进行特殊处理,该实现在。
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 3566
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
启用了不安全http请求方法 OPTIONS
星语惜馨的博客
10-22 5784
tomcat配置: 在tomcat的web.xml中添加如下的代码后重启tomcat,注意添加后只对tomcat下的目录有效。参照所需禁用的http方法添加。 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
关于解决不安全HTTP方法的验证方案
will-E之居
08-04 2626
最近产品要进行安全漏洞检查,发现安全HTTP方法的验证方案。通过网上找了一些方案,我总结有两种: 一、通过pound前置机来解决,我通过网上的方案验证没有通过(原因没有详查),方案可《http://bbs.csdn.net/topics/390159756》 二、通过修改web.xml解决,但是根据网上的方案进行配置,但是问题没有解决掉。最后无奈我重置了所有的配置文件,一步一步的文件迭代调测
安全测试-渗透测试-不安全http方法问题及解决方案.doc
09-10
### 安全测试与渗透测试中的不安全HTTP方法问题及解决方案 #### 一、问题背景与概述 在现代网络环境中,网络安全已经成为企业和组织关注的重点之一。其中,HTTP协议作为Web应用的基础,其安全性尤为重要。然而,在...
微信小程序http连接访问解决方案的示例
12-01
在微信小程序开发中,由于对信息安全的重视,...这种方法既保障了数据的安全,又使得小程序可以利用HTTP API的功能。需要注意的是,这种方法可能会增加服务器的负载,因此在实际应用中需要考虑性能优化和安全性问题。
XX平台安全扫描问题解决方案.docx
09-23
启用安全HTTP方法也可能导致安全风险,如PUT、DELETE、HEAD、OPTIONS和TRACE等。这些方法在某些情况下可能被恶意利用。因此,应该在Web工程或服务器的`web.xml`中进行安全配置,禁止不必要的HTTP方法,例如: ```...
启用了不安全http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
iOS 9无法访问HTTP的解决方法
09-01
总的来说,虽然上述方法可以解决iOS 9设备无法访问HTTP的问题,但应被视为短期解决方案。长期而言,开发者应当尽快将服务迁移至HTTPS,以符合Apple的 ATS 要求并提供更好的用户体验和数据安全性。同时,对于第三方库...
Vue跨域请求问题解决方案过程解析
11-19
在开发Web应用时,尤其是使用前端框架如Vue.js时,我们常常会遇到跨域问题,这是因为浏览器的安全策略限制了不同源的HTTP请求。本篇文章将详细介绍如何解决Vue项目中的跨域请求问题,主要通过配置Vue的开发服务器...
启用了不安全HTTP方法
u013673367的专栏
08-20 2015
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
Springboot -- 网络安全漏洞处理
zhangdm的博客
02-26 9113
文章目录不安全HTTP 方法以及 Nginx 屏蔽版本号显示说明检测方式不安全HTTP 方法 处理代码屏蔽 Nginx 版本号显示点击劫持漏洞说明什么是ClickJacking检测方式处理代码XSS跨站脚本攻击说明检测方式处理代码 (参考网上的代码,主要是对传入的信息进行敏感字符的过滤) 不安全HTTP 方法以及 Nginx 屏蔽版本号显示 说明 Web服务器在默认情况下开放了一些不必要的HTTP方法(如OPTIONS,DELETE、PUT、TRACE、MOVE、COPY),增加了受攻击的几率,
[安全]检测出项目内的安全漏洞,如启用了不安全HTTP方法,会话Cookie中缺少某某属性等
PerryHsu的博客
07-04 1671
目录 1.启用了不安全HTTP方法 2.开启OPTIONS方法 3.错误页面Web应用服务器版本泄露 4.X-Frame-Options Header未配置 5.会话Cookie中缺少secure/HttpOnly属性 6.敏感目录 前段时间收到了第三方发过来的网站安全评估报告,发现我所管理的很多项目有各种漏洞,总结下来如下,做个笔记以便后续自己写项目时注意避免和修正,...
AppScan扫描启用了不安全的“OPTIONSHTTP 方法
liudoyang的博客
12-26 3333
**服务器禁止不需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用了不安全的“OPTIONSHTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat的解决办法。现在记录一下websphere解决问题思路,给使用we...
安全HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 1693
安全HTTP请求 漏洞原理以及修复方法
注解配置SpringMVC
最新发布
时间如瑾 代码如诗
07-23 573
当我们的类扩展了AbstractAnnotationConfigDispatcherServletInitializer并将其部署到Servlet3.0容器的时候,容器会自动发现它,并用它来配置Servlet上下文。接口的类,如果找到的话就用它来配置Servlet容器。每一项技术深挖都是一个庞大的体系,学海无涯,共勉。Spring提供了这个接口的实现,名为。本篇文章讲解使用配置类和注解代替。的类并将配置的任务交给它们来完成。环境中,容器会在类路径中查找实现。,这个类反过来又会查找实现。
Windows 2003 服务器安全设置解决方案
Windows 2003 最完善最完美的权限及安全设置解决方案 Windows 2003 作为一个操作系统,安全设置是非常重要的,本文将详细介绍 Windows 2003 中的权限及安全设置解决方案,以确保服务器的安全。 一、服务器安全设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值