WEB常见漏洞解决办法

最新推荐文章于 2024-07-01 21:07:59 发布
最新推荐文章于 2024-07-01 21:07:59 发布
阅读量1.5k 收藏
点赞数
分类专栏: java 文章标签: web java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/doupengzp/article/details/121692662
版权

一、Tomcat 点击劫持:X-Frame-Options Header未配置

X-Frame-Options响应头,赋值有如下三种:

  1. DENY:无论如何不在框架中显示;
  2. SAMEORIGIN:仅在同源域名下的框架中显示;
  3. ALLOW-FROM uri:仅在指定域名下的框架中显示。

Tomcat

在web.xml添加如下配置

<filter-mapping>
        <filter-name>httpHeaderSecurity</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

<filter>
        <filter-name>httpHeaderSecurity</filter-name>
        <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
        <async-supported>true</async-supported>
     
      <init-param>
        <param-name>antiClickJackingEnabled</param-name>
        <param-value>true</param-value>
      </init-param>
      <init-param>
        <param-name>antiClickJackingOption</param-name>
        <param-value>SAMEORIGIN</param-value>
      </init-param>    

    </filter>

二、检测到目标服务器启用OPTIONS方法

tomcat的web.xml下或则应用程序的web.xml下添加如下代码


<security-constraint>
    <web-resource-collection>
        <web-resource-name>baseproject</web-resource-name>
        <url-pattern>/*</url-pattern>
		<http-method>PUT</http-method>
		<http-method>DELETE</http-method>
		<http-method>HEAD</http-method>
		<http-method>OPTIONS</http-method>
		<http-method>TRACE</http-method>
	</web-resource-collection>
	<auth-constraint>
		<description>baseproject</description>
		<role-name>All Role</role-name>
	</auth-constraint>
</security-constraint>
<login-config>
    <auth-method>BASIC</auth-method>
</login-config>

窦朋飞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx 解决options跨域问题
2号自信的博客
01-26 8074
server { #listen 9201; listen 8014; server_name localhost; root C:/wnmp/Nginx/html; charset utf-8; #access_log logs/hvideo.access.log main; acces...
Java部署Tomcat服务,安全风险的修改
挖掘机炒菜的专栏
11-21 463
在Tomcat的web.xml中加载以下内容,重新启动服务即可 <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-cl...
检测到目标服务器启用了options方法(漏洞
wangsaisoon的博客
03-11 2万+
转自:[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法 第一步:修改应用程序的web.xml文件的协议 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;web-app version="2.5" xmlns="http://java....
点击劫持:X-Frame-Options未配置、nginx配置X-Frame-Options响应头
更多内容查看博客描述。
04-26 1572
add_header X-Frame-Options SAMEORIGIN 加入到服务器配置文件的'http'或者'server'中即可。看到x-frame-options这一项代表设置成功。nginx配置X-Frame-Options响应头。打开谷歌浏览器,输入你自己网站的地址。在nginx.conf配置文件中,
检测到目标服务器启用了OPTIONS方法
努力明天会更好的博客
06-08 5626
添加个拦截器,即可解决 public class ConfigInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { // 解决安全漏洞:检测到目标服务器启用了OPTIONS方法 response.setHe
java 漏洞 项目用了危险的方法_从RainbowBridge看Js与Java交互中的安全漏洞
weixin_39939601的博客
03-07 182
文/OPPO子午互联网安全实验室【Zery】前言Hybrid混合开发模式正在被越来越多的APP所使用,这种模式中一个绕不开的话题就是Js如何与Java进行交互,而早在Android 4.2之前的版本中,由webview提供Js与java交互的addjavascriptInterface接口就出现了严重的安全漏洞,虽然此后Android限制了只有添加@JavascriptInterface的方法才可...
Java服务启用不安全的http方法解决方式
说不如做
08-20 1661
说明 如果启用了不必要的HTTP方法可能会带来安全问题,如果启用了不必要的HTTP方法可能会带来安全问题。 解决方式是可以禁用掉不必要的方法。 解决 进入tomcat下修改conf目录的web.xml信息。 打开web.xml vim web.xml 添加如下配置信息: <security-constraint> <web-resource-collection> <web-resource-name>fortune</web-reso
漏洞修复:检测到目标服务器启用了OPTIONS方法
最新发布
yjfkeifk的博客
07-01 342
IIS+asp.net网站,使用绿盟和。
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法漏洞修复
LENGTH18的博客
08-27 4092
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
web开发常见安全漏洞解决办法
08-15
SQL注入漏洞 跨站脚本攻击漏洞 IIS短文件/文件夹漏洞 系统敏感信息泄露
网站常见漏洞解决办法
09-29
解决方法: ①开启Apache 的mod_rewrite功能: 在Apahce的配置文件httpd.conf中把#LoadModule rewrite_module modules/mod_rewrite.so前的#去掉 在httpd.conf中找到下面这段 <Directory />Options FollowSymLinks ...
jboss与struts漏洞解决
08-13
《JBoss与Struts漏洞解决详解》 在信息技术领域,安全问题始终是不容忽视的关键环节。本文主要针对两个常见漏洞——JBoss漏洞和Struts漏洞,详述其情况、影响以及解决方案,旨在帮助用户理解漏洞的危害并采取有效...
关于struts2漏洞问题及解决办法
04-21
这篇博客文章“关于struts2漏洞问题及解决办法”可能详细探讨了Struts2框架中的一些关键安全问题,以及如何通过更新、配置优化或使用安全工具来应对这些问题。 首先,Struts2最臭名昭著的漏洞是S2-045,这是一个...
编码漏洞及防护方案.pdf
05-04
解决办法是实现基于角色的访问控制(RBAC),并确保所有资源访问都经过权限检查。 7. **XML外部实体注入(XXE)**:XXE允许攻击者读取服务器上的文件或执行任意的XML处理器操作。防范措施包括禁用XML解析器中的外部...
绿盟漏扫系统漏洞及修复方案
DEFT1998的博客
02-19 9193
绿盟漏扫系统漏洞及修复方案 漏洞1 详细描述: 1.X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。 2.HTTP X-XSS-Protection 响应头是 Inte
OPTIONS方法禁用
热门推荐
zqhao的博客
03-13 2万+
在给系统做安全检测的过程中,发现了一个低危安全性问题,检测到目标服务器启用了OPTIONS方法。 OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。 解决...
Apache WEB服务器启用了OPTIONS方法
lizhihua0625的博客
08-18 1171
Apache WEB服务器启用了OPTIONS方法
通过options探测服务器信息,WEB服务器启用了OPTIONS方法
weixin_30843553的博客
08-10 2103
漏洞描述攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法:windows2008、windows2012,请在wwwroot目录建立web.config,内容如下windows 2003,打开控制面板-ISAPI筛选器-启用自定义重写组件,然后编辑httpd.conf,如果您已有其他规则,请添加到最上面RewriteEngine on...
服务器上启用了TRACE,OPTIONS || 缓慢的HTTP请求导致拒绝服务攻击 || IBM WebSphere/WebLogic文件读取漏洞绕过限制
大河向东流的博客
11-07 3534
服务器上启用了TRACE方法 || 服务器允许OPTIONS方法 || 缓慢的HTTP请求导致拒绝服务攻击 || IBM WebSphere/WebLogic文件读取漏洞绕过限制 1.修改Tomcat下的web.xml文件 &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;http-method&gt;OP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值