【安全扫描问题】在Web服务器上禁用OPTIONS方法

最新推荐文章于 2023-07-13 09:40:31 发布
最新推荐文章于 2023-07-13 09:40:31 发布
阅读量1w 收藏 1
点赞数
分类专栏: 服务器 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iosweb/article/details/81487866
版权

1、修改web.xml 中的引入

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xmlns="http://java.sun.com/xml/ns/j2ee" 
xmlns:web="http://java.sun.com/xml/ns/j2ee" 
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" 
version="2.5">

2、增加配置代码,把需要过滤掉的添加到过滤代码中

<!-- 过滤掉DELETE、HEAD、PUT等请求方式 -->
  <security-constraint>
  	<web-resource-collection>
  		<url-pattern>/*</url-pattern>
  			<http-method>PUT</http-method>
  			<http-method>DELETE</http-method>
  			<http-method>HEAD</http-method>
  			<http-method>OPTIONS</http-method>
  			<http-method>TRACE</http-method>
  			<http-method>PATCH</http-method>
	</web-resource-collection>  
	<auth-constraint></auth-constraint>  
</security-constraint>  
<login-config>  
  <auth-method>BASIC</auth-method>  
</login-config>

重新启动tomcat完事

IOS_Mainstay
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
01-10
WebDAV WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。 现在主流的WEB服务器
Win2008 R2 WEB 服务器安全设置指南之禁用不必要的服务和关闭端口
01-10
安全是重中之重,以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务,这样最大程度来提高安全性。 作为web服务器,并不是所有默认服务都需要的,所以像打印、共享服务都可以禁用。当然了,你的系统补丁也需要更新到最新,一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多,而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢,因为我们要防患于未然,万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务:把下面的服务全部停止并禁用。   TCP/IP NetBIOS 
CORS 以及如何节省一次 OPTIONS 请求
wsxc451的专栏
01-07 771
为了解决跨域资源共享问题,浏览器厂商和标准组织在 HTTP 协议的基础上,提出了 CORS 标准协议。CORS 协议由一组 HTTP Header 构成,用于标识某个资源是否可以被跨域访问。 这里只是简单介绍一下 CORS 标准,更详细的内容可以直接看规范文档:Fetch Standard 当前端使用 XHR 或者 fetch 等其他方法请求一个跨域资源时,如果是非简单请求(后面会解释),浏览...
安全篇 ━━ 整改php和IIS(根据安全等级保护评估、渗透测试报告)
暂时先用这个名字
10-16 6066
1、 目标URL存在http host头攻击漏洞 在代码部分注释_SERVER[“HTTP_HOST”]方法,仅留_SERVER["SERVER_NAME”] 2、 会话cookie中缺少HttpOnly属性 在代码部分开启HttpOnly 在服务器开启httpOnlyCookies为True 3、 目标X-Content-Type-Options响应头缺失 在代码部分设置X-Content-Type-Options为nosniff 在IIS设置X-Content-Type-Options为nosn
OPTIONS方法禁用
热门推荐
zqhao的博客
03-13 2万+
在给系统做安全检测的过程中,发现了一个低危安全问题,检测到目标服务器启用了OPTIONS方法OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。 解决...
Tomcat过滤请求方式
q908544703的博客
06-02 1531
1.修改tomcat配置文件conf的web.xml(增加红色部分) 2.新增如下内容 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87
响应头缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 6152
web安全响应头
web 禁用 OPTIONS方法启用【原理扫描
最新发布
tone1128的博客
07-13 574
Web服务器上启用了HTTP OPTIONS方法OPTIONS方法提供了Web服务器支持的方法列表,它表示对有关由Request-URI标识的请求/响应链上可用的通信选项的信息的请求。
HOWTO:在 Tomcat 中禁用 HTTP 方法
allway2的博客
07-21 1679
安全相关扫描中出现的一个常见项目是网站或Web应用程序中允许的HTTP方法。对于我们这些使用ApacheTomcat而不是像Apache或IIS这样的前端Web服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。安全约束虽然不如ApacheWeb服务器中的那些完整,但却是保护Web应用程序的一种非常有用的方法。本HOWTO专注于在指定的URI上禁用HTTP方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。...
Web应用安全:使上传文件在服务器上作为脚本执行实验.docx
06-19
实验六:使上传文件在服务器上作为脚本执行 一、实验目的 了解文件上传漏洞 绕过文件上传检测并上传脚本文件到服务器上 连接服务器上的脚本文件 二、实验内容 首先寻找可以上传文件的位置,使用不同的方式试探如何绕...
在Apache上隐藏服务器签名的方法
01-10
透露网站服务器带有服务器/PHP版本信息的签名会带来安全隐患,因为你基本上将你系统上的已知漏洞告诉给了攻击者。因此,作为服务器加固的一个部分,强烈推荐你禁用所有网站服务器签名。 禁用Apache网站服务器签名 ...
IIS Web服务器支持高并发设置方法详解
01-10
General->Queue Length设置为65535(队列长度所支持的最大值)Process Model->Idle Time-out设置为0(不让应用程序池因为没有请求而回收)Recycling->Regular Time Interval设置为0(禁用应用程序池定期自动回收)2...
Mac 搭建本地Apache服务器
IOS_Mainstay的博客
05-16 1万+
在mac系统中Apache是系统自带的,所以不需要安装Apache,但是我们需要自定义配置一下路径以及权限; 首先得在用户文件下面新建站点: 手动新建:直接新建一个叫Sites文件夹 命令新建:sudo mkdir ~/Sites 引用:http://jingyan.baidu.com/article/0aa22375b553a488cc0d64b5.html 1、路径切换到Apache:
IOS 之扫描银行卡号DEMO
IOS_Mainstay的博客
07-01 4181
通过扫描银行卡,获取银行卡号,在网上搜过后,选用了card.io这个SDK,过程如下:(1)下载Card.ioCard.io是让手机摄像头获取信用卡的信息,中间利用了OCR(光学字符识别)的扫描技术返回结果,它还推出了SDK(软件开发包),让开发者们可以把card.io添加到自己的应用当中。可以在https://github.com/paypal/PayPal-iOS-SDK下载最新的SDK(2)添
动态JavaWeb项目连接Tomcat服务器问题
IOS_Mainstay的博客
10-14 2096
1、在浏览器里面能够访问,而在eclipse里面不能访问并且报404错误,解决方案: (1)检查路径的问题: 在servers的地方右键新建一个server,直接finish, 把上图中默认的修改成圈出来的,并且修改Deploy path为webapps;然后全部保存一下,重启Tomcat,然后在进行刷新(2)当Tomcat里面有项目的话,右键进入Tomcat界面,清空里面的项目,否则项目路径
MAC/Linux Vi配置环境变量及Java环境变量配置
IOS_Mainstay的博客
06-20 1920
vi基础 1、vi的基本概念   (1)基本上vi可以分为三种状态,分别是命令模式(command mode)、插入模式(Insert mode)和底行模式(last line mode),各模式的功能区分如下: 1) 命令行模式command mode)   控制屏幕光标的移动,字符、字或行的删除,移动复制某区段及进入Insert
Apache连接本地自定义站点服务器
IOS_Mainstay的博客
05-17 744
研究了一天的Apache的连接方式,到现在为止,研究的差不多了,主要是对写后台的不太好搞定,但是,到现在为止收获颇多,现在先歇一歇我今天的收获吧! 其实主要分为两种状态,一种是直接访问服务器里面的文件,或者网站;一种是连接服务器并读取服务器里面的数据; 第一种:直接访问服务器里面的文件 直接访问服务器里面的文件用作按钮的背景色、读取服务器里面的H5文件; 这种直接访问的方法很简单的,直接网络
禁用web服务器上的OPTIONS
04-25
请求方法,你有什么建议吗? 确保你的服务器配置正确并限制了OPTIONS请求的访问权限。你可以使用以下方法禁用OPTIONS请求: 1.在服务器配置文件中,将OPTIONS请求方法从访问控制列表中删除。 2.在应用程序代码中,使用中间件阻止所有OPTIONS请求。 3.使用HTTP服务器插件来禁用OPTIONS请求。 无论选择哪种方法,都需要谨慎地验证你的更改是否会影响服务器的正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值