OPTIONS方法禁用

最新推荐文章于 2024-05-28 19:44:41 发布
最新推荐文章于 2024-05-28 19:44:41 发布
阅读量2.6w 收藏 23
点赞数 5
分类专栏: Web安全 文章标签: OPTIONS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hzygcs/article/details/88527763
版权

在给系统做安全检测的过程中,发现了一个低危安全性问题,检测到目标服务器启用了OPTIONS方法

OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。

解决方案一:单个项目生效
在项目中的web.xml配置,放在web.xml最后添加如下内容:

 <!-- 关闭不安全的HTTP方法 -->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>http method security</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint/>
    </security-constraint>

解决方案二:Tomcat中所有项目生效
在Tomcat服务器的web.xml上配置,路径tomcat/conf/web.xml。修改内容如下:

<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
                      http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
  version="3.1">
  <!-- 以上是tomcat中本身存在,下面是新添加内容-->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>http method security</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint/>
    </security-constraint>

一般在Tomcat服务器中配置,单个项目配置本地调试没有问题,部署到Tomcat上依然会出现问题,还未找到原因。下面我们来看下配置前后的效果对比:

配置前:
配置前配置后:
配置后
还是可以明显看到问题所在的,配置后禁止了页面信息的返回。配置前无信息返回是因为前端框架用的VUE,如果是JSP则会返回页面信息,这样就增加了安全风险。

下面对上面用到的配置元素做一个简单介绍:
<security-constraint> 中的子元素<http-method>是可选的,如果没有<http-method>元素,这表示将禁止所有 HTTP 方法访问相应的资源。<auth-constraint>子元素,其内容为空,表示所有身份的用户都被禁止访问相应的资源。如果没<auth-constraint>子元素,配置实际上是不起作用的。

还有一个<login-config>,这里我们没有用到,它和<security-constraint> 同级,配合<auth-constraint>使用,当访问服务器中受保护的资源时,容器管理的验证方法可以控制用户身份的确认方式。Tomcat支持四种容器管理的安全防护:

  • BASIC:通过HTTP验证,需要提供base64编码文本的用户口令
  • DIGEST:通过HTTP验证,需要提供摘要编码字符串的用户口令
  • FORM:在网页的表单上要求提供密码
------------本文结束感谢您的阅读------------
岸远水声微
关注
  • 5
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Vue使用axios出现options请求方法
12-12
以下代码如果需要在你本地跑起来: Ⅰ.需要apache服务,并把php代码丢进去指定位置 Ⅱ.将下面... 1.从一段简易代码说起 ...meta name="viewport" content="width=device-width, initial-scale=1.0">...
android BitmapFactory.Options使用方法详解
08-31
本篇文章将深入探讨BitmapFactory.Options的使用方法,帮助开发者更好地管理图像资源,防止因大图片导致的内存溢出(Out Of Memory, OOM)问题。 首先,`BitmapFactory.Options`中的`inJustDecodeBounds`字段是一个...
Nginx 设置禁用 OPTIONS 请求以及允许跨域教程!
高性价比服务器就选:蓝易云
07-01 2264
通过按照上述步骤,在Nginx中设置禁用OPTIONS请求和允许跨域。请确保在编辑Nginx配置文件时使用正确的服务器名称或IP地址。替换为您的域名或IP地址。替换为您的域名或IP地址。
【已解决】IIS环境检测到网站存在响应头缺失、禁用Options方法、解决跨域攻击等不安全
wangjunlei的专栏
04-16 1339
4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS。5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS。3、检测到目标Content-Security-Policy响应头缺失 IIS设置。1、检测到目标X-Content-Type-Options响应头缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测到目标X-XSS-Protection响应头缺失。
Java SpringBoot项目限制PUT、DELETE、TRACE、OPTIONS、PATCH等危险的方法的访问
最新发布
mekings13的博客
05-28 533
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
响应头缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 7372
web安全响应头
Tomcat隐藏版本号和禁用OPTIONS.
weixin_43915921的博客
01-14 1940
Tomcat隐藏版本号
Nginx/Tomcat 关闭options方案
qianghong000的博客
03-24 1149
关闭options得根据服务器使用的WEB容器种类来决定方法,下面列举主流的。 nginx 参考: HTTP方法 评估结果 建议 说明 解决方案 HEAD 安全 无 除了服务器不能在响应中返回消息体,HEAD 方法与 GET 相同。HEAD 请求的响应中的 HTTP 头部中包含的元信息应该与 GET 请求发送的响应中的信息相同。该方法可用来获取请求暗示实体的元信息,而不需要传输实体本...
Nginx 设置禁用 OPTIONS 请求以及允许跨域
wd520521的博客
05-10 7047
1、修改 nginx 配置 在 nginx.conf 配置文件中,增加如下内容: if ($request_method ~* OPTIONS) { return 403; } 效果如下:(如果配置了SSL,则需要在SSL也配置一下) 2、重启 nginx 服务 /usr/local/nginx/sbin -s reload systemctl restart nginx service nginx restart 3、功能验证 使用如下命令: curl .
WELOGIC&TOMCAT禁用OPTIONS方法
sdjzuch的专栏
09-16 1807
1、验证是否允许使用OPTIONS方法请求 curl -v -X OPTIONS http://IP:PORT/SERVLETNAME 如:curl -v -X OPTIONS http://127.0.0.1:2438/custserv 如果允许OPTIONS方法则返回如下: * About to connect() to 127.0.0.1 port 2438 (#0) * Tr...
通过options探测服务器信息,WEB服务器启用了OPTIONS方法
weixin_30843553的博客
08-10 2103
漏洞描述攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法:windows2008、windows2012,请在wwwroot目录建立web.config,内容如下windows 2003,打开控制面板-ISAPI筛选器-启用自定义重写组件,然后编辑httpd.conf,如果您已有其他规则,请添加到最上面RewriteEngine on...
Spring Cloud出现Options Forbidden 403问题解决方法
08-28
Spring Cloud出现Options Forbidden 403问题解决方法 Spring Cloud出现Options Forbidden 403问题解决方法 在使用Spring Cloud进行开发过程中,可能会遇到OPTIONS请求Forbidden的问题,这是由于CORS(Cross-Origin...
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
因为它开放了额外的HTTP方法,如PUT、DELETE、OPTIONS、TRACE和HEAD,这些方法可以被恶意用户利用,对服务器上的资源进行未经授权的修改或删除,从而造成数据泄露或服务破坏。因此,在不需要WebDAV功能或者希望增强...
跨域请求避免OPTIONS请求(预检请求)
Turbo
07-06 1万+
有时候前后端分离域名不一致,会造成跨域请求 而跨域请求有时候会自动发起两次请求,第一次为预检请求,即OPTIONS请求 一般来说使用 application/json 的 post 请求是必然会带入OPTIONS请求 OPTIONS请求也被称为预检请求,主要用于获知服务端支持的HTTP请求方法。跨域资源共享(CORS)标准新增了一组 HTTP 首部字段,配合预检请求可获知服务器允许哪些源站通过浏览器有权限访问哪些资源。 但是在有些get请求中也会OPTIONS请求,这里补充下回发生options的情况 当发
禁用不安全的http方法
热门推荐
qq_31225293的博客
02-27 1万+
上线很久的项目,后面用curl测出了一个漏洞,不安全的http方法 在网上搜索了很多都是一种解决办法,但是我这边都不行,现在我来说说我的解决办法首先解决OPTIONS的:修改自己应用的web.xml,添加如下配置:&lt;security-constraint&gt;         &lt;web-resource-collection&gt;              &lt;url-patt...
WEB漏洞-关闭不安全的HTTP方法
踮脚敲代码
12-19 6407
一.测试过程 通过手工测试,站点启动了不安全的HTTP方法漏洞,详细测试如下: OPTIONS /main/login HTTP/1.1 Host: xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language
[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
QC班长的博客
06-10 1万+
使用了360网站安全检测 查到有OPTIONS方法 第一步:修改应用程序的web.xml文件的协议 xml version="1.0" encoding="UTF-8"?> web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema
linux禁用options方法,WEB服务器启用了OPTIONS方法(轻微漏洞修补方法
weixin_28829339的博客
05-13 1129
发现时间:2015-09-14020漏洞类型:配置错误020所属建站程序:其他020所属服务器类型:通用020所属编程语言:其他020描述:目标WEB服务器启用了OPTIONS方法。020危害:攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。020解决方案:修改配置文件禁用options方法windows 2008-2012:请在wwwroot目录建立web.config,内容...
jfinal 如何禁用options方法
06-07
禁用 JFinal 中的 OPTIONS 方法,可以通过在应用程序中添加一个全局拦截器来实现。在该拦截器中,可以检查请求的方法是否为 OPTIONS,如果是,可以直接返回一个 405(Method Not Allowed)响应码,以指示该方法不被允许。以下是一个示例拦截器代码: ```java public class OptionsInterceptor implements Interceptor { @Override public void intercept(Invocation inv) { if ("OPTIONS".equalsIgnoreCase(inv.getMethod())) { inv.getController().renderError(405); } else { inv.invoke(); } } } ``` 在 JFinal 中,可以使用 addGlobalActionInterceptor 方法将该拦截器添加到全局拦截器链中: ```java config.addGlobalActionInterceptor(new OptionsInterceptor()); ``` 这样,当应用程序收到一个 OPTIONS 请求时,将会返回 405 响应码,而不是执行任何操作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值