启用了不安全的HTTP方法解决方案

最新推荐文章于 2023-09-03 19:28:47 发布
最新推荐文章于 2023-09-03 19:28:47 发布
阅读量484 收藏
点赞数
文章标签: web.xml java
原文链接:https://my.oschina.net/xlyslr/blog/718479
版权

近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。

1.启用了不安全的HTTP方法

问题是这样描述的:

检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,MOVE,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK,PUT。

响应头信息如下:

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
Content-Length: 0
Date: Mon, 25 Jul 2016 10:12:23 GMT

我们首先了解一下这几个方法的由来:HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法;HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 WebDAV完全采用了HTTP1.1的方法,扩展了一些方法,并扩展了一些其他方法:

  • Options、Head、Trace:主要由应用程序来发现和跟踪服务器支持和网络行为;
  • Get:检索文档;
  • Put和Post:将文档提交到服务器;
  • Delete:销毁资源或集合;
  • Mkcol:创建集合
  • PropFind和PropPatch:针对资源和集合检索和设置属性;
  • Copy和Move:管理命名空间上下文中的集合和资源;
  • Lock和Unlock:改写保护

很显然上述操作明细可以对web服务器进行上传、修改、删除等操作,对服务造成威胁。虽然WebDAV有权限控制但是网上一搜还是一大堆的攻击方法,所以如果不需要这些方法还是建议直接屏蔽就好了。

下面就来详细说一下解决方案: 最简单的方式就是修改WEB应用的web.xml部署文件。在里面插入下面几行代码就搞定了,把需要屏蔽的方法加在里面。如果应用包比较多也没必要一个个改,直接修改Tomcat的web.xml就可以了,这样在Tomcat中运行的实例都会有效。

		<security-constraint>
			<web-resource-collection>
				<web-resource-name>fortune</web-resource-name>
				<url-pattern>/*</url-pattern>
				<http-method>PUT</http-method>
				<http-method>DELETE</http-method>
				<http-method>HEAD</http-method>
				<http-method>OPTIONS</http-method>
				<http-method>TRACE</http-method>
			</web-resource-collection>
			<auth-constraint></auth-constraint>
		</security-constraint>
  • <security-constraint>用于限制对资源的访问;
  • <auth-constraint>用于限制那些角色可以访问资源,这里设置为空就是禁止所有角色用户访问;
  • <url-pattern>指定需要验证的资源
  • <http-method>指定那些方法需要验证

重启服务再验证就不会存在这个问题了。

转载于:https://my.oschina.net/xlyslr/blog/718479

chengyanshan0701
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
启用了不安全http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
启用了不安全HTTP方法
u013673367的专栏
08-20 2015
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
启用安全HTTP方法解决方案
weixin_30448603的博客
07-26 490
启用安全HTTP方法解决方案 Web AppScan HTTP WebDAV 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 1.启用了不安全HTTP方法 问题是这样描述的: 检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,M...
4.1.HTTP网络请求原理
深情小建
09-18 653
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
安全测试-渗透测试-不安全http方法问题及解决方案.doc
09-10
### 安全测试与渗透测试中的不安全HTTP方法问题及解决方案 #### 一、问题背景与概述 在现代网络环境中,网络安全已经成为企业和组织关注的重点之一。其中,HTTP协议作为Web应用的基础,其安全性尤为重要。然而,在...
微信小程序http连接访问解决方案的示例
12-01
在微信小程序开发中,由于对信息安全的重视,...这种方法既保障了数据的安全,又使得小程序可以利用HTTP API的功能。需要注意的是,这种方法可能会增加服务器的负载,因此在实际应用中需要考虑性能优化和安全性问题。
XX平台安全扫描问题解决方案.docx
09-23
启用安全HTTP方法也可能导致安全风险,如PUT、DELETE、HEAD、OPTIONS和TRACE等。这些方法在某些情况下可能被恶意利用。因此,应该在Web工程或服务器的`web.xml`中进行安全配置,禁止不必要的HTTP方法,例如: ```...
iOS 9无法访问HTTP的解决方法
09-01
总的来说,虽然上述方法可以解决iOS 9设备无法访问HTTP的问题,但应被视为短期解决方案。长期而言,开发者应当尽快将服务迁移至HTTPS,以符合Apple的 ATS 要求并提供更好的用户体验和数据安全性。同时,对于第三方库...
Vue跨域请求问题解决方案过程解析
11-19
在开发Web应用时,尤其是使用前端框架如Vue.js时,我们常常会遇到跨域问题,这是因为浏览器的安全策略限制了不同源的HTTP请求。本篇文章将详细介绍如何解决Vue项目中的跨域请求问题,主要通过配置Vue的开发服务器...
启用安全HTTP方法
sunny_happy08的博客
10-12 691
启用安全HTTP方法 Java代码 修改web工程中或者服务器web.xml,增加安全配置信息,禁用不必要HTTP方法 &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;url-pattern&gt;/*&lt;/url-pattern&gt; &lt;http-method&gt;PUT&lt;/http...
启用了不安全HTTP 方法
jackpk的专栏
07-27 8337
启用了不安全HTTP 方法 url: http://www.cnblogs.com/jimor/p/3418089.html   posted on 2013-11-11 16:12 jinjinwang IBM appscan安全漏洞扫描--启用了不安全HTTP 方法   appscan修订建议:   如果服务器不需要支持 WebDAV,请务必禁用它,或禁止不必要
启用安全HTTP方法-正确修复方法-apache
薄炙厚词的博客
05-17 3157
apache、http——启用安全http方法修复方案 @Time : 2021/5/17 下午5:04 @Author : 开始编辑~ 说明 apache默认安装之后,会开启多个http方法, 网络上有好多个修复方式是通过过滤的形式进行限制,但是治标不治本 如果只使用过滤http方法进行限制会出现下列问题 使用过滤限制http请求方法的步骤 在httpd.conf配置文件中取消mod_rewrite.so模块的注释 #LoadModule rewrite_module modules/mod_r
security-constraint解决-启用安全http方法
kang1011的博客
11-13 2158
security-constraint解决-启用安全http方法 拦截具体的接口,避免一些不合规的方式直接请求攻击 <security-constraint> <web-resource-collection> <web-resource-name>securityUrl</web-resource-name> <url-pattern>/home.do&l
网站启用安全http方法
qq_39633973的博客
12-28 759
当网站启用安全http方法是,相关的处理方式就是在web.xml中配置先关的安全策略 &amp;lt;security-constraint&amp;gt; &amp;lt;web-resource-collection&amp;gt; &amp;lt;url-pattern&amp;gt;/*&amp;lt;/url-pattern&amp;gt; &amp;lt;http-method
禁用WebDAV-Tomcat(检测到目标URL启用了不安全HTTP方法
zjxeastchi的博客
09-19 3811
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
安全HTTP方法
做自己喜欢的事,并将其发挥到极致!
05-07 2353
文章目录一、常见的HTTP请求方法如下二、请求方式安全隐患三、渗透攻击检测四、修复方案 一、常见的HTTP请求方法如下 GET:Get长度限制为1024,特别快,不安全,在URL里可见,URL提交参数以 ?分隔,多个参数用 & 连接,请求指定的页面信息,并返回实体主体。 HEAD:类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头。 POST:长度一般无限制,由中间件限制,较慢,安全,URL里不可见。请求的参数在数据包的请求body中。 PUT:向指定资源位置上传其最新内容。 DE
AppScan扫描启用了不安全的“OPTIONSHTTP 方法
liudoyang的博客
12-26 3333
**服务器禁止不需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用了不安全的“OPTIONSHTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat的解决办法。现在记录一下websphere解决问题思路,给使用we...
正确修复:启用安全HTTP方法方法-apache
最新发布
hzjhss的博客
09-03 342
原文链接:https://blog.csdn.net/BoZhihouci/article/details/116942082。当重启apache服务之后,再次构造OPTIONS方法会出现403错误,这样问题就解决了吗?这样一来,当出现不存在的http方法时,apache也会打印如OPTIONS的作用一样的信息。怀着好奇的心思,恢复了apache默认配置,仍然是这个问题。重启服务之后再次验证,http方法果然减少,但还是有TRACE方法存在,再次测试,此时已全部解决,如有疑问,可以留言,我们继续讨论。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值