WEB漏洞-关闭不安全的HTTP方法

最新推荐文章于 2024-02-11 14:14:52 发布
最新推荐文章于 2024-02-11 14:14:52 发布
阅读量6.2k 收藏 33
点赞数 10
分类专栏: Java 文章标签: 安全漏洞 Java Tomcat Http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ii950606/article/details/111400657
版权

一.测试过程

通过手工测试,站点启动了不安全的HTTP方法漏洞,详细测试如下:

OPTIONS /main/login HTTP/1.1
Host: xxx.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: https://xxx.com/home/index
Cookie: scaptcha=2457; JSESSIONID=F1F773B239AD16C97BE08EC4160372C4
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1

在这里插入图片描述

如图:启动了不安全的HTTP方法。以下这几个方法属于HTTP协议 WebDAV(Web-based Distributed Authoring and Versioning)的扩展。

方法描述
GETGet长度限制为1024,特别快,不安全,在URL里可见,URL提交参数以?分隔,多个参数用&连接,请求指定的页面信息,并返回实体主体。
HEAD类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头。
POST长度一般无限制,由中间件限制,较慢,安全,URL里不可见。请求的参数在数据包的请求body中。
PUT向指定资源位置上传其最新内容。
DELETE请求服务器删除指定的页面。
TRACE回显服务器收到的请求,主要用于测试或诊断。
OPTIONS返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性。
CONNECTHTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
COPY将指定的资源复制到Destination消息头指定的位置
MOVE将指定的资源移动到Destination消息头指定的位置
SEARCH在一个目录路径中搜索资源
PROPFIND获取与指定资源有关的信息,如作者、大小与内容类型

二.风险分析

WebDAV虽然方便了网站管理员对网站的管理,但是也带来了新的安全风险!可能会在Web服务器上上载、修改、删除Web页面、脚本和文件或者获取一些敏感信息。

方法风险
PUT由于PUT方法自身不带验证机制,利用PUT方法可以向服务器上传文件,恶意攻击者可以上传木马等恶意文件。
DELETE利用DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击。
TRACE可以回显服务器收到的请求,主要用于测试或诊断,一般都会存在反射型跨站漏洞。
OPTIONS将会造成服务器信息暴露,如中间件版本、支持的HTTP方法等。

三.解决方法

如果服务器不需要支持 WebDAV,尽量禁用它(如方法一);或禁止不必要的 HTTP 方法(如方法二)。

3.1 方法一

灰机:Web服务器禁用WebDAV功能

3.2 方法二

在 Tomcat 的 web.xml 文件中添加以下代码,关闭不安全的HTTP方法。

<!-- 关闭不安全的HTTP方法 -->
<security-constraint>
    <web-resource-collection>
        <web-resource-name>fortune</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>HEAD</http-method>
        <http-method>OPTIONS</http-method>
        <http-method>TRACE</http-method>
    </web-resource-collection>
    <auth-constraint></auth-constraint>
</security-constraint>

也可以在项目的 web.xml 配置文件中添加以上代码。区别在于在项目的 web.xml 配置文件中添加只对该应用有效;在 Tomcat 中添加对部署到该 Tomcat 中的所有应用有效。

最后重启 Tomcat 即生效!

四.测试效果

再次测试,未发现不安全的HTTP方法,漏洞修复成功!
在这里插入图片描述

踮脚敲代码
关注
  • 10
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭Apache的TRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
安全漏洞:后端禁用安全http方法
阿强的博客
04-26 1401
漏洞描述: Web服务器默认情况下开放了一些不必要的http方法,如DELETE、PUT、TRACE、MOVE等,很可能会在Web服务器上上传、修改或者删除Web页面、脚本和文件。使系统容易受到攻击。 解决方案: 禁用不必要的HTTP方法,修改应用程序的Web.xml,在文件中添加如下代码: <security-constraint> <web-resource-colle...
nginx 禁用安全http方法
wudinaniya的博客
01-10 1万+
安全防护角度考虑,一般我们要禁用安全HTTP 方法,仅保留 GET、POST 方法。 nginx 禁用安全http方法,既可以在nginx配置文件 server 下进行全局设置,也可以在某个location下进行设置。 全局设置方式一 if ($request_method ~ ^(PUT|DELETE)$) { return 40...
安全HTTP请求 漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
02-11 900
安全HTTP请求 漏洞原理以及修复方法
Tomcat禁用安全HTTP方法经历
shen3422的博客
09-21 3500
主要是在tomcatweb.xml或者项目的web.xml中配置以下参数 &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;web-resource-name&gt;fortune&lt;/web-resource-name&gt; &lt;url-pattern&gt;/*&lt;/url-pattern&gt; ...
Java发送HTTP请求的工具类
Xylon的博客
05-10 2827
一个用于发送HTTP请求的工具类,支持携带参数的GET、POST、DELETE等方法 工具类OkHttpUtils: import okhttp3.*; import okhttp3.Request.Builder; import org.apache.commons.lang3.StringUtils; import java.io.IOException; import java.util.HashMap; import java.util.Map; import java.util.conc.
安全HTTP方法
冰雨蝶皇的博客
07-17 9062
近日,一个上线很久的项目,后台使用curl测试时发现了一个漏洞:不安全HTTP方法,如下图所示: 一、HTTP方法 根据HTTP标准,HTTP请求可以使用多种方法,其如下所示: HTTP1.0定义了三种请求方法:GET、POST和HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE和CONNECT WebDAV (Web-based Dist...
OkHttp
qq_40900926的博客
12-20 378
OkHttp源码解读,谈谈如何拿到response过程;
OKHttp(一)---------post方式请求
weixin_36286495的博客
05-16 553
1.构建 RequestBody,将请求的表单数据放在这里,key-value应根据url的请求格式修改 RequestBody requestBody = new FormBody.Builder() .add("key",value) .build(); 2.构建请求 Request request =
Okhttp3源码解析(2)-Request分析
秦子帅的专栏
08-17 3023
###前言 前面我们讲了 Okhttp的基本用法 Okhttp3源码解析(1)-OkHttpClient分析 今天主要分析下Request源码! Request初始化 当我们构建完OkHttpClient对象,需要构造Request对象,构造方式如下: 1.Get请求 final Request request=new Request.Builder() ...
OkHttp基本使用(五)拦截器
chuyouyinghe的专栏
05-08 2065
本篇介绍OkHttp的拦截器的使用。 首先我们需要了解什么事拦截器。打个比方,镖局押着一箱元宝在行走在一个山间小路上,突然从山上下来一群山贼拦住了镖局的去路,将镖局身上值钱的东西搜刮干净后将其放行。其中山贼相当于拦截器,镖局相当于一个正在执行任务的网络请求,请求中的参数就是镖局携带的元宝。拦截器可以将网络请求携带的参数进行修改验证,然后放行。这里面其实设计了AOP编程的思想(面向切面编程)。 拦截器的作用和好处。 在介绍拦截器的作用和好处之前,我们还是要回到山贼这个角色上,如果让你做一次山贼,你会在什么地方
web安全tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的...
如何关闭http Methods中的Trace 提高安全意识
01-20
使用Nikto测试服务器,发现HTTP开启了trace方法。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 ...
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用这是一个Swagger REST API信息可用的工具。主要功能有:遍历所有API接口,自动填充参数尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以未授权访问...
网站安全狗Linux-Nginx版(32位)v2.4.2.gz
07-17
具有DDOS攻击防护、CC攻击防护、Ftp/SSH防暴力破解、SSH远程登录保护、网站漏洞防护、url地址全检测、防盗链、网站特定资源保护、IP黑白名单等功能,全方位防护服务器安全和网站安全。 并支持云端设置。通过安全...
Java实现文件管理系统(附源码)
热门推荐
踮脚敲代码
04-21 1万+
文件管理越来越受到企业的重视,最近自己也做了个简单的文件管理系统,现与大家分析交流。 一.系统演示
Java权限管理系统完整案例
踮脚敲代码
12-30 1万+
一.开发工具 开发软件:JDK7.0、MyEclipse 2014 数据库:MySQL5.6 服务器:Tomcat7.0 二.系统介绍 本系统采用了 B/S 体系结构,以 MySql 作为数据库管理数据,以 JSP 作为前端开发语音,采用当前最流行的 SSM 框架(Spring+SpringMVC+MyBatis),标准的 MVC 模式,将整个系统划分为表现层,controller 层,service 层,dao 层四层。下面介绍主要功能: 2.1 权限管理 支持在线分配权限,以角色为表头、菜单为首列。动态
Java OFD文件转换,OFD转PDF、图片、SVG、HTML工具类(2.0.0版本之前)
踮脚敲代码
02-23 9176
通过对OFD的文档进行解析,使用 Apache Pdfbox生成并转换OFD中的元素为PDF内的元素实现PDF的转换。
若依RuoYi整合短信验证码登录
踮脚敲代码
01-03 6340
背景:若依默认使用账号密码进行登录,但是咱们客户需要增加一个短信登录功能,即在不更改原有账号密码登录的基础上,整合短信验证码登录。
详细介绍一下tomcat的目录遍历漏洞(CVE-2020-1938)
04-29
Tomcat 目录遍历漏洞(CVE-2020-1938)是一种文件包含漏洞,影响 Apache Tomcat 服务器的 AJP 协议。 AJP 协议(Apache JServ Protocol)是 Apache HTTP Server 与 Tomcat 之间通信的一种协议,可以通过 mod_jk、mod_proxy_ajp 或 mod_cluster 等模块使用。攻击者可以通过发送恶意请求,利用该漏洞读取远程服务器上的任意文件,包括敏感配置文件、源代码等。 漏洞的原理是,攻击者在请求中添加特殊的 AJP 协议数据包,伪装成合法的请求,欺骗 Tomcat 服务器将任意文件作为响应返回。 该漏洞影响 Apache Tomcat 9.0.0.M1 到 9.0.31、8.5.0 到 8.5.51、7.0.0 到 7.0.100 版本,已经被评为“高危”漏洞。 为了修复该漏洞,可以升级到 Tomcat 9.0.32、8.5.52 或 7.0.100 以上版本。如果不能立即升级,也可以在 AJP 协议前面添加一个安全网关(如 Web 服务器或反向代理服务器),或者关闭 AJP 协议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

踮脚敲代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值