正确修复:启用不安全的HTTP方法的方法-apache

最新推荐文章于 2023-09-04 04:20:56 发布
最新推荐文章于 2023-09-04 04:20:56 发布
阅读量348 收藏
点赞数
文章标签: 安全 http apache
原文链接:https://blog.csdn.net/BoZhihouci/article/details/116942082
版权

启用不安全的HTTP方法-正确修复方法-apache
@Time : 2021/5/17 下午5:04
@Author :

开始编辑~
1
说明
apache默认安装之后,会开启多个http方法,
网络上有好多个修复方式是通过过滤的形式进行限制,但是治标不治本
1
2


如果只使用过滤http方法进行限制会出现下列问题
使用过滤限制http请求方法的步骤
在httpd.conf配置文件中取消mod_rewrite.so模块的注释
#LoadModule rewrite_module modules/mod_rewrite.so
1
2
3
然后填写下列内容

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]
1
2
3
当重启apache服务之后,再次构造OPTIONS方法会出现403错误,这样问题就解决了吗?


这时脑子灵光一闪,输入不存在的http方法试试?


这不对啊,这是什么问题?怀着好奇的心思,恢复了apache默认配置,仍然是这个问题


这样一来,当出现不存在的http方法时,apache也会打印如OPTIONS的作用一样的信息

正确修复方式
取消配置文件中mod_allowmethods.so模块的注释
#LoadModule allowmethods_module modules/mod_allowmethods.so
1
2
在配置文件最后添加下列内容

<Location "/">
AllowMethods GET POST
</Location>

1
2
3
4
重启服务之后再次验证,http方法果然减少,但还是有TRACE方法存在,


继续在配置文件后添加下列内容

TraceEnable off
1
再次测试,此时已全部解决,如有疑问,可以留言,我们继续讨论


乾坤未定,你我皆是黑马
————————————————
版权声明:本文为CSDN博主「秋点兵」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/BoZhihouci/article/details/116942082

奔跑着的马
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 1729
安全HTTP请求 漏洞原理以及修复方法
安全http方法、CSRF等漏洞修复问题
01-07
安全http方法、CSRF漏洞修复问题
启用安全HTTP方法-正确修复方法-apache
薄炙厚词的博客
05-17 3166
apachehttp——启用安全http方法修复方案 @Time : 2021/5/17 下午5:04 @Author : 开始编辑~ 说明 apache默认安装之后,会开启多个http方法, 网络上有好多个修复方式是通过过滤的形式进行限制,但是治标不治本 如果只使用过滤http方法进行限制会出现下列问题 使用过滤限制http请求方法的步骤 在httpd.conf配置文件中取消mod_rewrite.so模块的注释 #LoadModule rewrite_module modules/mod_r
安全HTTP方法
hcufo的博客
09-04 1224
web渗透的小知识点
网络安全XSS跨站脚本攻击漏洞和不安全HTTP方法的修补
Funky_oaNiu的博客
12-23 1827
一、项目背景 一个Springboot+MyBatis+Redis+MySQL的辣鸡小项目。奈何再小的项目也需要保证安全,今天提交给测试部门做渗透测试,打回来两个网络安全漏洞,网上有很多“模糊”的修改办法,我们来看看具体怎么修补吧。 二、漏洞描述 1.不安全HTTP方法安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法漏洞修复
LENGTH18的博客
08-27 4123
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
apache-tomcat-8.0.48-windows-x86.zip
08-17
这个压缩包"apache-tomcat-8.0.48-windows-x86.zip"是针对Windows 32位系统的Tomcat 8.0.48版本的安装包。在深入探讨相关知识点之前,我们先来了解一下Tomcat的基本概念。 Tomcat是Apache软件基金会Jakarta项目的一...
centOS用-Apache-构建-HTTP-服务器.doc
06-23
在构建一个基于 CentOS 的 HTTP ...为了进一步增强安全性,你可能还需要考虑安装 SSL 证书启用 HTTPS,配置日志审计,以及定期更新软件以修复安全漏洞。Apache 提供了丰富的模块和配置选项,可以根据具体需求进行定制。
最新版linux apache-tomcat-9.0.52.tar.gz
08-09
例如,命令行可以是`gunzip apache-tomcat-9.0.52.tar.gz`,然后`tar -xvf apache-tomcat-9.0.52.tar`。 4. **安装步骤**: - 解压下载的文件:`tar -zxvf apache-tomcat-9.0.52.tar.gz` - 移动到合适的位置,如 ...
apache-tomcat-8.0.47
07-28
这个特定的版本,"apache-tomcat-8.0.47",是Tomcat 8系列的一个发行版,它包含了对Java EE 7规范的支持。在深入探讨这个版本的特性之前,我们首先来理解一下什么是Apache Tomcat。 Apache Tomcat是一个轻量级的Web...
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
apache-tomcat-8.5.31.tar.gz
最新发布
06-06
在这个特定的版本"apache-tomcat-8.5.31.tar.gz"中,我们讨论的是Tomcat的8.5系列的一个稳定版本。 首先,让我们深入了解一下Tomcat的核心功能和特点: 1. **Servlet容器**:Tomcat的主要职责是管理Servlet,...
apache禁用不安全http法_快看,i++真的不安全
weixin_39855658的博客
12-24 140
上期文章讲到“i++;”本身是一个线程不安全的操作,原因是操作不是原子性的,存在取值和赋值的两个过程,但是究竟怎么会不安全呢?本期借助一个“vmlens”的项目来演示为何会发生线程不安全的情况。文末是vmlens简介。测试代码:public class TestCounter { private volatile int i = 0; @Interleave public void incr...
【漏洞修复】检测到目标URL启用了不安全HTTP方法
LIARRR的博客
04-20 1260
检测到目标Web服务器配置成允许下列其中一个(或多个)HTTP 方法:OPTIONS,DELETE, SEARCH,COPY,MOVE, PROPFIND, PROPPATCH, MKCOL ,LOCK ,UNLOCK。这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。
apache http上传过慢_不安全HTTP方法渗透测试
weixin_31905417的博客
01-06 436
常见的HTTP请求方法有GET、POST和HEAD,除此以外还有WebDAV请求方法。WebDAV是一项基于 Http1.1 协议的通信协议。它扩展了HTTP 1.1,在Get、Post、Put、Delete 等HTTP标准方法外添加了新方法,使应用程序可对Web Server直接读写。PUT向指定的目录上传文件DELETE删除指定的文件COPY将指定的资源复制到Destination...
apache禁用不安全http法_Apache安全配置之禁止目录访问的配置方法
weixin_39619170的博客
01-14 1181
在PHP网站开发中,为了让网站目录文件和程序代码的安全考虑,我们必须对某些目录或者文件的访问权限进行控制,来提高网站的安全,那么我们怎样来实现这种功能呢?这时候可以配置Apache来禁止网站以目录的形式列出网站内容。在Apache中没有配置禁止目录访问时候,当你访问 http://localhost 时会列出相关的目录和文件列表,我们可以通过修改Apache配置文件httpd.conf来实现禁止...
springboot解决不安全HTTP请求方式安全漏洞
Think_and_work的博客
07-05 2531
springboot解决不安全HTTP请求方式安全漏洞
启用了不安全HTTP方法
u013673367的专栏
08-20 2017
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
缺失"X-Content-Type-Options"头修复方法
06-06
"X-Content-Type-Options"是一个HTTP响应头,可以用于控制浏览器是否将响应中的内容类型解释为MIME类型,从而防止一些MIME类型混淆攻击。如果服务器没有正确配置该头,则可能会导致安全问题。以下是修复方法: 1. 通过Web服务器添加该头 可以通过在Web服务器的配置文件中添加该头来修复问题。例如,在Apache服务器中,可以通过在配置文件中添加以下行来启用该头: ``` Header set X-Content-Type-Options "nosniff" ``` 在Nginx服务器中,可以通过在配置文件中添加以下行来启用该头: ``` add_header X-Content-Type-Options nosniff; ``` 2. 通过应用程序框架添加该头 如果你正在使用应用程序框架(例如Django、Ruby on Rails等),则可以通过在应用程序代码中添加该头来修复问题。例如,在Django框架中,可以在视图函数中添加以下行来启用该头: ``` response['X-Content-Type-Options'] = 'nosniff' ``` 3. 通过安全插件添加该头 如果你使用的是安全插件(例如mod_security),则可以在插件配置中添加该头来修复问题。例如,在mod_security配置文件中,可以通过添加以下行来启用该头: ``` SecRule RESPONSE_HEADERS:X-Content-Type-Options "@streq nosniff" \ "phase:4, \ setvar:tx.xcto_policy=1, \ setvar:tx.xcto_policy_msg=The X-Content-Type-Options header is missing or not set to 'nosniff'." ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值