启用了不安全的 HTTP 方法

最新推荐文章于 2024-08-10 14:13:08 发布
最新推荐文章于 2024-08-10 14:13:08 发布
阅读量8.3k 收藏
点赞数
分类专栏: 安全

启用了不安全的 HTTP 方法

url: http://www.cnblogs.com/jimor/p/3418089.html

 

posted on 2013-11-11 16:12 jinjinwang

IBM appscan安全漏洞扫描--启用了不安全的 HTTP 方法

 

appscan修订建议:

 

如果服务器不需要支持 WebDAV,请务必禁用它,或禁止不必要的 HTTP 方法(动词)。

 

 

<security-constraint>

        <web-resource-collection>

            <url-pattern>/*</url-pattern>

            <http-method>PUT</http-method>

            <http-method>DELETE</http-method>

            <http-method>HEAD</http-method>

            <http-method>OPTIONS</http-method>

            <http-method>TRACE</http-method>

        </web-resource-collection>

        <auth-constraint></auth-constraint>

</security-constraint>

 

 

jackpk
关注
专栏目录
apache禁用不安全http法_tomcat禁用不安全HTTP方法
weixin_39640883的博客
01-14 935
一般情况下在项目开发完成之后上线之前一般都要经过安全组扫描,上周在处理一个微服务迁移过程中安全组提出了两个安全方面的问题,即微服务的api使用了不安全http方法(DELETE和TRACE),事实上该微服务的http方法只使用了GET和POST,所以根据安全组的建议需要禁用不安全HTTP方法。我准备通过一个简单的demo来演示如何进行配置,首先创建一个spring boot项目,根据需要选择需...
安全问题】启用了不安全HTTP方法——深度分析及解决方案
Hello_MiaoJiang的博客
09-28 7162
前言 启用了不安全HTTP方法是常见的安全报错。本文将对八种主要的HTTP方法进行原理及安全性分析,并提供简单的解决方案。 1、HTTP方法安全性分析 1.1 HTTP方法由来 HTTP协议提供了集中请求方式,每种请求方式都有不同的作用,HTTP请求可以使用多种请求方法HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 1.2 HTTP方法详述 GET方法:G
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
启用了不安全HTTP方法
u013673367的专栏
08-20 2061
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
网站常见漏洞(三)
最新发布
we_solo的博客
08-10 3848
自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置。方式传递的敏感数据更容易被截获,降低了攻击的门槛,攻击者通过简单的。,有可能允许未授权的用户对其进行利用,修改服务器上的文件。1、关闭不安全的传输方法,推荐只使用POST、GET方法
启用安全HTTP方法解决方案
weixin_30448603的博客
07-26 518
启用安全HTTP方法解决方案 Web AppScan HTTP WebDAV 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 1.启用了不安全HTTP方法 问题是这样描述的: 检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,M...
apache禁用不安全http法_快看,i++真的不安全
weixin_39855658的博客
12-24 154
上期文章讲到“i++;”本身是一个线程不安全的操作,原因是操作不是原子性的,存在取值和赋值的两个过程,但是究竟怎么会不安全呢?本期借助一个“vmlens”的项目来演示为何会发生线程不安全的情况。文末是vmlens简介。测试代码:public class TestCounter { private volatile int i = 0; @Interleave public void incr...
Tomcat配置错误:启用安全HTTP方法漏洞分析
"启用了不安全HTTP方法漏洞通常出现在Web应用程序的配置中,特别是Tomcat服务器的`web.xml`文件。此问题涉及到允许不受限制地使用潜在危险的HTTP请求方法,如PUT、DELETE、HEAD、OPTIONS和TRACE,这可能为攻击者...
禁用WebDAV-Tomcat(检测到目标URL启用了不安全HTTP方法
zjxeastchi的博客
09-19 3970
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
Linux-查看是哪一个发行版?
power_to_go
09-22 778
root@aliyun:~# ls /etc/*release /etc/lsb-release /etc/os-release root@aliyun:~# cat /etc/lsb-release DISTRIB_ID=Ubuntu DISTRIB_RELEASE=18.04 DISTRIB_CODENAME=bionic DISTRIB_DESCRIPTION="Ubuntu 18.04.5 LTS" root@aliyun:~# cat /etc/os-release NAME="Ubuntu
各中间件禁用不安全HTTP方法
02-10
各中间件禁用不安全HTTP方法安全加固方法学习方法参考。
Apache拦截不安全漏洞
一只菜鸟夹
03-11 696
完成这些步骤后,Apache服务器应该会禁用不安全HTTP方法(如果启用了WebDAV,则也会禁用WebDAV),并且会为响应添加X-Frame-Options头,从而提高项目的安全性。如果不需要WebDAV功能,可以通过禁用mod_dav和mod_dav_fs模块来彻底禁用WebDAV。使用mod_rewrite模块来拦截并拒绝不支持的HTTP方法。通过Apache的配置来禁用特定的HTTP方法,或者禁用WebDAV模块(如果已启用),以防止对不支持的HTTP方法(如PUT, DELETE等)的访问。
安全HTTP方法
Decaede的博客
02-27 1784
HTTP方法是一组用于与web服务器通信的协议命令。最常被用到的方法是:GET和POSTGET、POST和HEAD是HTTP 1.0定义的三种请求方法。OPTIONS、PUT、DELETE、TRACE和CONNECT是HTTP 1.1新增的物种方法
AppScan扫描启用了不安全的“OPTIONS”HTTP 方法
liudoyang的博客
12-26 3636
**服务器禁止不需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用了不安全的“OPTIONS”HTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat的解决办法。现在记录一下websphere解决问题思路,给使用we...
目标URL启用了不安全HTTP方法
教官的博客
10-30 855
修复目标URL启用了不安全HTTP方法
正确修复:启用安全HTTP方法方法-apache
hzjhss的博客
09-03 409
原文链接:https://blog.csdn.net/BoZhihouci/article/details/116942082。当重启apache服务之后,再次构造OPTIONS方法会出现403错误,这样问题就解决了吗?这样一来,当出现不存在的http方法时,apache也会打印如OPTIONS的作用一样的信息。怀着好奇的心思,恢复了apache默认配置,仍然是这个问题。重启服务之后再次验证,http方法果然减少,但还是有TRACE方法存在,再次测试,此时已全部解决,如有疑问,可以留言,我们继续讨论。
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法漏洞修复
LENGTH18的博客
08-27 4254
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
nginx 禁用不安全http方法
热门推荐
wudinaniya的博客
01-10 1万+
安全防护角度考虑,一般我们要禁用不安全HTTP 方法,仅保留 GET、POST 方法。 nginx 禁用不安全http方法,既可以在nginx配置文件 server 下进行全局设置,也可以在某个location下进行设置。 全局设置方式一 if ($request_method ~ ^(PUT|DELETE)$) { return 40...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值