Tomcat禁用 OPTIONS 和 TRACE 并隐藏 Apache-Coyote/1.1 并启动APR模式

最新推荐文章于 2021-07-15 19:09:14 发布
最新推荐文章于 2021-07-15 19:09:14 发布
阅读量1.1k 收藏
点赞数
文章标签: java
原文链接:https://my.oschina.net/9199771/blog/3078363
版权

 

其实禁用OPTIONS  TRACE 等动词就是禁用webdev协议

打开tomcat–>conf–>web.xml 文件: 

将以下代码注释或删除:

<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
                      http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
  version="3.1">

替换为:

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
    id="WebApp_ID" version="3.0">
<security-constraint>
        <web-resource-collection>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>PATCH</http-method>
            <http-method>DELETE</http-method>
            <http-method>COPY</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>LINK</http-method>
            <http-method>UNLINK</http-method>
            <http-method>PURGE</http-method>
            <http-method>LOCK</http-method>
            <http-method>UNLOCK</http-method>
            <http-method>PROPFIND</http-method>
            <http-method>VIEW</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint>
        </auth-constraint>
    </security-constraint>
    <login-config>
        <auth-method>DIGEST</auth-method>
    </login-config>

 

然后继续修改server.xml(处理trace和Coyote/1.1):

5a60033e68efe26466bd939885c9327d7dd.jpg

添加:

allowTrace="true" server="x"

启动APR模式:

对connector 的 protocol 进行修改

将  

HTTP/1.1

 修改为

org.apache.coyote.http11.Http11AprProtocol

结果如下 

<Connector port="80" protocol="org.apache.coyote.http11.Http11AprProtocol"
connectionTimeout="20000"
redirectPort="8443" />

在catalina.bat中找到setlocal添加CATALINA_OPTS参数具体如下

setlocal
set CATALINA_OPTS="-Djava.library.path=%CATALINA_HOME%\bin"

 

转载于:https://my.oschina.net/9199771/blog/3078363

chuai5828
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java修改服务器(tomcat)响应头 Server:Apache-Coyote/1.1
时间无言的博客
01-19 1万+
Server:Apache-Coyote/1.1 :很多人有说有漏洞,是否有没研究过,只知道Apache-Coyotetomcat处理socket链接信息,包装request、response等底层信息的一套机制,Server:Apache-Coyote/1.1是泄露了当前容器的类型所以可以选择如下修改               connectionTimeout="20000"       
解决Apache Tomcat版本泄露,Apache-Coyote/1.1自定义
最新发布
weixin_57258127的博客
03-31 385
coyote 是 tomcat 的 Connector 框架的名字,简单说就是coyote 来处理底层的 socket,并将 http 请求、响应等字节流层面的东西,包装成 Request 和 Response 两个类(这两个类是 tomcat 定义的,而非 servlet 中的ServletRequest和ServletResponse),供容器使用;coyote本质上是为tomcat的容器提供了对底层socket连接数据的封装,以Request类的形式,让容器能够访问到底层的数据。
[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat禁用不安全的http方法...
weixin_34357887的博客
10-19 794
使用了360网站安全检测 查到有OPTIONS方法 百度了下 https://my.oschina.net/maliang0130/blog/338725 找到这个方法奈何http.conf 找不到无论在tomcat目录里还是linux路径下的/usr/etc或者apache2 最后通过开源中国找到 第一步:修改应用程序的web.xml文件的协议 &lt;?xml version="1.0" e...
tomcat禁止PUT等方法
03-29
tomcat禁止PUT等方法,记录下来方便以后使用
tomcat 禁用trace,put,head,post,delete 请求方式
shuxiansheng1的博客
07-15 3507
背景 项目中请求方式只有GET,POST请求,处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式。 实现 在tomcat的web.xml配置 文件最后加上请求方式限制,配置如下,本次使用的tomcat8 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
tomcat wedav 禁止DELETE、PUT、OPTIONSTRACE、HEAD等协议访问应用程序应用程序
建伟博客
09-18 1329
http://jiessiedyh.iteye.com/blog/418316 http://blog.csdn.net/mqboss/article/details/7466736 http://blog.csdn.net/huang_xw/article/details/6194232 http://lgstarzkhl.iteye.com/blog/534125 http://www...
WELOGIC&TOMCAT禁用OPTIONS方法
sdjzuch的专栏
09-16 1757
1、验证是否允许使用OPTIONS方法请求 curl -v -X OPTIONS http://IP:PORT/SERVLETNAME 如:curl -v -X OPTIONS http://127.0.0.1:2438/custserv 如果允许OPTIONS方法则返回如下: * About to connect() to 127.0.0.1 port 2438 (#0) * Tr...
tomcat-coyote.jar
03-27
tomcat-coyote.jar
tomcat-coyote-7.0.34-sources.jar.zip
11-17
Tomcat的coyote包源码,是阅读Tomcat源码很好的资源!
tomcat-coyote.jar.zip
06-03
tomcat-coyote.jar
如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat禁用不安全的http方法
lionzl的专栏
09-14 3702
WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat禁用不安全的http方法 2017-03-06 13:39 1135人阅读 评论(0) 收藏 举报  分类: 服务器(3)  [轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/to
TOMCAT禁用请求类型,如TRACE,HEAD,PUT,DELETE,OPTIONS
qq_34192626的博客
10-12 3431
项目中常用的请求方式有GET和POST,但除了这之外还有TRACE,HEAD,PUT,DELETE,OPTIONS。由于安全目的,通常会禁用除GET和POST之外的请求方式。 经过测试,在tomcat的web.xml配置文件最后加上请求方式限制,配置如下: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="...
tomcat禁用options等请求协议
wtjhaoxia的博客
07-10 1371
最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是: 启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表 解决方案: 你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 打开tomcat–>con...
Nginx/Tomcat 关闭options方案
qianghong000的博客
03-24 1099
关闭options得根据服务器使用的WEB容器种类来决定方法,下面列举主流的。 nginx 参考: HTTP方法 评估结果 建议 说明 解决方案 HEAD 安全 无 除了服务器不能在响应中返回消息体,HEAD 方法与 GET 相同。HEAD 请求的响应中的 HTTP 头部中包含的元信息应该与 GET 请求发送的响应中的信息相同。该方法可用来获取请求暗示实体的元信息,而不需要传输实体本...
Tomcat禁用OPTIONS协议(禁用Web请求方式)
ClearLoveQ的博客
05-14 8190
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 这时我们需要禁用一些方法,比如DELETE,PUT防止攻击者对服务器进行攻击 对于部署在tomcat上的应用来说,需要在tomcat的web.xml的配置文件中添加相应的配置,来达到禁用方法的目的: 步骤1:在web.xml文件中添加如下配置 &l...
OPTIONS方法禁用
热门推荐
zqhao的博客
03-13 2万+
在给系统做安全检测的过程中,发现了一个低危安全性问题,检测到目标服务器启用了OPTIONS方法。 OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。 解决...
Tomcat禁用OPTIONS协议
A_Runner的博客
06-08 1万+
冷冷七弦上,静听松风寒 最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是: 启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表 解决方案: 你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 打...
解决 Tomcat禁用OPTIONS协议(不安全的HTTP方法)
p15097962069的博客
04-11 851
解决 Tomcat禁用OPTIONS协议(不安全的HTTP方法)
apache-coyote/1.1漏洞
03-16
apache-coyote/1.1漏洞是指Apache Tomcat服务器中的一个安全漏洞,攻击者可以利用该漏洞来执行恶意代码或者获取敏感信息。该漏洞主要是由于Tomcat服务器在处理某些HTTP请求时存在缺陷,攻击者可以通过发送特定的请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值