启用了不安全的 HTTP 方法

最新推荐文章于 2024-08-10 14:13:08 发布
最新推荐文章于 2024-08-10 14:13:08 发布
阅读量8.3k 收藏
点赞数
分类专栏: 安全

启用了不安全的 HTTP 方法

url: http://www.cnblogs.com/jimor/p/3418089.html

 

posted on 2013-11-11 16:12 jinjinwang

IBM appscan安全漏洞扫描--启用了不安全的 HTTP 方法

 

appscan修订建议:

 

如果服务器不需要支持 WebDAV,请务必禁用它,或禁止不必要的 HTTP 方法(动词)。

 

 

<security-constraint>

        <web-resource-collection>

            <url-pattern>/*</url-pattern>

            <http-method>PUT</http-method>

            <http-method>DELETE</http-method>

            <http-method>HEAD</http-method>

            <http-method>OPTIONS</http-method>

            <http-method>TRACE</http-method>

        </web-resource-collection>

        <auth-constraint></auth-constraint>

</security-constraint>

 

 

jackpk
关注
专栏目录
安全HTTP方法
做自己喜欢的事,并将其发挥到极致!
05-07 2383
文章目录一、常见的HTTP请求方法如下二、请求方式安全隐患三、渗透攻击检测四、修复方案 一、常见的HTTP请求方法如下 GET:Get长度限制为1024,特别快,不安全,在URL里可见,URL提交参数以 ?分隔,多个参数用 & 连接,请求指定的页面信息,并返回实体主体。 HEAD:类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头。 POST:长度一般无限制,由中间件限制,较慢,安全,URL里不可见。请求的参数在数据包的请求body中。 PUT:向指定资源位置上传其最新内容。 DE
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
启用了不安全HTTP方法
u013673367的专栏
08-20 2036
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
网站常见漏洞(三)
最新发布
we_solo的博客
08-10 3756
自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置。方式传递的敏感数据更容易被截获,降低了攻击的门槛,攻击者通过简单的。,有可能允许未授权的用户对其进行利用,修改服务器上的文件。1、关闭不安全的传输方法,推荐只使用POST、GET方法
启用安全HTTP方法解决方案
weixin_30448603的博客
07-26 503
启用安全HTTP方法解决方案 Web AppScan HTTP WebDAV 近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 1.启用了不安全HTTP方法 问题是这样描述的: 检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,M...
apache禁用不安全http法_快看,i++真的不安全
weixin_39855658的博客
12-24 148
上期文章讲到“i++;”本身是一个线程不安全的操作,原因是操作不是原子性的,存在取值和赋值的两个过程,但是究竟怎么会不安全呢?本期借助一个“vmlens”的项目来演示为何会发生线程不安全的情况。文末是vmlens简介。测试代码:public class TestCounter { private volatile int i = 0; @Interleave public void incr...
apache禁用不安全http法_tomcat禁用不安全HTTP方法
weixin_39640883的博客
01-14 920
一般情况下在项目开发完成之后上线之前一般都要经过安全组扫描,上周在处理一个微服务迁移过程中安全组提出了两个安全方面的问题,即微服务的api使用了不安全http方法(DELETE和TRACE),事实上该微服务的http方法只使用了GET和POST,所以根据安全组的建议需要禁用不安全HTTP方法。我准备通过一个简单的demo来演示如何进行配置,首先创建一个spring boot项目,根据需要选择需...
安全问题】启用了不安全HTTP方法——深度分析及解决方案
Hello_MiaoJiang的博客
09-28 7104
前言 启用了不安全HTTP方法是常见的安全报错。本文将对八种主要的HTTP方法进行原理及安全性分析,并提供简单的解决方案。 1、HTTP方法安全性分析 1.1 HTTP方法由来 HTTP协议提供了集中请求方式,每种请求方式都有不同的作用,HTTP请求可以使用多种请求方法HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 1.2 HTTP方法详述 GET方法:G
禁用WebDAV-Tomcat(检测到目标URL启用了不安全HTTP方法
zjxeastchi的博客
09-19 3905
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
Linux-查看是哪一个发行版?
power_to_go
09-22 762
root@aliyun:~# ls /etc/*release /etc/lsb-release /etc/os-release root@aliyun:~# cat /etc/lsb-release DISTRIB_ID=Ubuntu DISTRIB_RELEASE=18.04 DISTRIB_CODENAME=bionic DISTRIB_DESCRIPTION="Ubuntu 18.04.5 LTS" root@aliyun:~# cat /etc/os-release NAME="Ubuntu
各中间件禁用不安全HTTP方法
02-10
各中间件禁用不安全HTTP方法安全加固方法学习方法参考。
渗透测试(Penetration Testing)
weixin_30500105的博客
09-11 1176
渗透测试(Penetration Testing) 目录 Author : ZwelL Last Updated : 2007.12.16 零、前言 一、简介 二、制定实施方案 三、具体操作过程 四、生成报告 五、测试过程中的风险及规避 参考资料 FAQ集 零、前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗...
java禁止不需要的HTTP 方 法
charsli的专栏
10-30 747
项目安全扫描,报告: 启用了不安全HTTP 方法 安全风险: 可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的。 修订建议: 如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。 WebDAV (Web-based Distribut...
漏洞修复:检测到目标服务器启用了OPTIONS方法
yjfkeifk的博客
07-01 988
IIS+asp.net网站,使用绿盟和。
WEB漏洞-关闭不安全HTTP方法
踮脚敲代码
12-19 6483
一.测试过程 通过手工测试,站点启动了不安全HTTP方法漏洞,详细测试如下: OPTIONS /main/login HTTP/1.1 Host: xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法漏洞修复
LENGTH18的博客
08-27 4204
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
HTTP的危险方法(不安全HTTP方法
热门推荐
weixin_45116657的博客
11-01 1万+
友情链接: Web安全|为什么要禁止除GET和POST之外的HTTP方法? 不安全HTTP方法 我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法。 WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GE...
web服务器启用了不安全HTTP方法
bobozai86的博客
09-14 7978
1、什么是不安全HTTP方法 开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。 2、安全风险 可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...
Tomcat配置错误:启用安全HTTP方法漏洞分析
"启用了不安全HTTP方法漏洞通常出现在Web应用程序的配置中,特别是Tomcat服务器的`web.xml`文件。此问题涉及到允许不受限制地使用潜在危险的HTTP请求方法,如PUT、DELETE、HEAD、OPTIONS和TRACE,这可能为攻击者...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值