AppScan-Authentication Bypass Using HTTP Verb Tampering

最新推荐文章于 2020-12-11 18:11:01 发布
最新推荐文章于 2020-12-11 18:11:01 发布
阅读量3.4k 收藏
点赞数 1
分类专栏: 小知识 文章标签: 安全相关 安全 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenzeyi_java/article/details/74856977
版权

  话说到盖哥我继前段时间各个行业同时进行各个版本平台的安全测试,为此大忙特忙了一段时间,之后就开始重返之前的工作内容了。
  经过之前的工作,也开始有点了解Web安全相关的知识了,虽然买的书还没怎么看,但那时在工作中了解了一些xss,csrf,sql注入等等相关的知识以及怎么去防御。
  上周又被甩了一个锅过来,其中一个就是标题描述的缺陷,字面意思翻译过来就是【通过篡改http请求类型来绕过Web授权及认证】,分析了下appscan的攻击案例的时候我是一脸萌比的:本来是get类型的请求,把get换成一个不存在的请求类型竟然能正常请求并且返回正常的网页内容。
   利用postman模拟正常请求,用fiddler拦截请求并修改请求类型为SHIT,竟然真的能正常返回(解释下背景,平台带apache和tomcat)。
另外设置`tomcat的web.xml

     <security-constraint>
        <web-resource-collection>
            <web-resource-name>Allowed methods</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>

    </security-constraint>
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Restricted methods</web-resource-name>
            <url-pattern>/</url-pattern>
        </web-resource-collection>
        <auth-constraint />
    </security-constraint>

也没有任何效果。
  后来想在apache中拦截掉不存在或者不想接收的请求,才找到解决方案:修改apache/conf/httpd.conf,增加网络空间Location的配置项

<Location />
    <LimitExcept GET POST OPTIONS CONNECT PROPFIND />
        Order allow deny
        Deny from all
    </LimitExcept>
</Location>

  再次测试发现SHIT请求或者其他不在LimitExcept中的类型都会被拦截并且返回403错误(服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误),问题到此解决完成,记录一下。

chenzeyi_java
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APPScan-help.chm(APPScan standard10)
03-16
appScan standard 10 中文help
appscan-codesweep-action:将静态安全测试与HCL AppScan CodeSweep与Github集成
04-17
HCL AppScan CodeSweep Github操作 使用HCL AppScan CodeSweeep Github Action可以阻止不安全的代码到达您的存储库。 当添加到新的或现有的Github工作流中时,此操作将对所有已修改和已添加的代码行进行安全扫描。 ...
Appscan漏洞之Authentication Bypass Using HTTP Verb Tampering
arkqyo2595的博客
06-06 594
  本次针对Appscan漏洞 Authentication Bypass Using HTTP Verb TamperingHTTP动词篡改导致的认证旁路)进行总结,如下: 1. Authentication Bypass Using HTTP Verb Tampering 1.1、攻击原理   不安全HTTP方法PUT/DELETE/MOVE/COPY/TRACE/PRO...
RootMe--HTTP verb tampering
weixin_33827965的博客
04-03 855
题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-verb-tampering 题目提示: 1. HTTP动词修改 2. 身份认证 打开题目有一个登录框,瞎输入密码过不了,按F12点击取消登录框 状态码401,身份未认证,想想题目是HTTP动词修改,尝试修改请求方式 HTTP中有8中请求方式:OPIONS...
使用 HTTP 动词篡改的认证旁路 (Http Verb Tempering: Bypassing Web Authentication and Authorization)
热爱生活~热爱工作~热爱每一天~
12-11 4868
Http Verb Tempering: Bypassing Web Authentication and Authorization(使用 HTTP 动词篡改的认证旁路 什么是HTTP动词(HTTP VERB)? 超文本传输协议(HTTP)提供了可以用于在web服务器上执行操作的方法列表。 这些方法中的许多都旨在帮助开发人员在开发或调试阶段部署和测试HTTP应用程序。 如果web服务器配置不当,这些HTTP方法可能被用于恶意目的。 此外,还将检查一些高脆弱性,如跨站点跟踪(XST),这是一种使用
HTTP动词
pz_winner的博客
10-21 2737
对于资源的具体操作类型,由HTTP动词表示。 常用的HTTP动词有下面五个(括号里是对应的SQL命令)。 GET(SELECT):从服务器取出资源(一项或多项)。POST(CREATE):在服务器新建一个资源。PUT(UPDATE):在服务器更新资源(客户端提供改变后的完整资源)PATCH(UPDATE):在服务器更新资源(客户端提供改变的属性)。DELETE(DELETE):从服务器
安全测试漏扫工具-HCL AppScan-10.5.0(28368)-2024年4月-下载
最新发布
04-12
重新设计了AppScan Connect - AppScan Enterprise界面,以允许立即或延迟扫描执行以及选择扫描方法的能力。 能够轻松地将完整的测试列表(不包括变体)从测试策略导出到 CSV 文件,无论测试是否启用。 问题视图中...
HCL-AppScan-Standard-v10.0.8..28186
07-25
HCL_AppScan_Standard_v10.0.8..28186
APPScan基础扫描-技术手册》
11-08
APPScan基础扫描-技术手册》这篇文档将教会你如何使用APPScan这款工具对web平台执行安全扫描喔~ 如果还有安全测试相关的其他问题,也欢迎随时来私聊我交流呀~ CSDN,知识分享,资源共享,希望和同在CSDN的你共同...
旁路认证教程
12-03
描述如何设置交换机的镜像,配置网关实现旁路认证的过程,文档非常详细.
bwapp 其他注入篇
h0ld1rs的博客
08-15 792
文章目录ClickJacking (Movie Tickets)Client-Side Validation (Password)HTTP Parameter PollutionHTTP Response SplittingHTTP Verb TamperingInformation Disclosure - Faviconinformation Disclosure - HeadersInformation Disclosure - Robots FileInsecure iFrame (Login Fo
基于IBM Appscan 扫描的网站安全问题修改(.Net MVC)
BrandonJ 的博客
10-13 4477
最近一直在修改网站的安全问题,期间遇到了很多问题,所有在这里给大家分享一下,具体问题还需要按情况修改。
绕过web认证学习总结
bcbobo21cn的专栏
07-26 7359
绕过Web授权和认证之篡改HTTP请求 http://www.myhack58.com/Article/html/3/8/2015/62279_17.htm  什么是HTTP请求   超文本传输协议(HTTP)提供了多种请求方法来与web服务器沟通。当然,大多 数方法的初衷是帮助开发者在开发或调试过程中部署和测试HTTP应用。如果服务 器配置不当,这些请求方法可能被用于
Authentication Bypass
Zarkjobs的博客
07-16 685
用API去请求文档,API中含有用户名和key, 再登录主页的时候需要继续检验用户的登录。 1.如http://xxx/?id=xxx&key=xxxx 此连接访问之后不要存cookie即可解决Authentication Bypass的问题。
网络安全-使用HTTP动词篡改的认证旁路
热门推荐
东风夜放花千树
07-29 2万+
这个东西去年的安全扫描都没有,今天就扫出来了,非常奇怪的一个东西。好吧,找资料找原因。结果可能应为搜索名词的原因,这个问题在群友的帮助下解决了。 在我理解中servlet只有post和get方法,然后结果怎么出来这么多奇奇怪怪的方法呢。这些方法干啥的呢?
IBM-APPSCAN
09-12
IBM-APPSCAN是一款用于应用程序安全测试的软件。使用IBM-APPSCAN可以对系统进行全面自动扫描或手动探索来发现潜在的安全漏洞。在全面自动扫描中,工具会对系统进行自动扫描,并显示扫描结果。但是需要注意的是,全面...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值