解决安全扫描HTTP的不安全方法

最新推荐文章于 2024-02-11 14:14:52 发布
最新推荐文章于 2024-02-11 14:14:52 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 安全测试相关 文章标签: 安全检测 HTTP 不安全方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li_liu10/article/details/50058073
版权
安全扫描工具扫出HTTP的不安全方法
如图


实验一:
只在项目配置web.xml加允许方法限制,结果使用火狐poster测试页面问题解决,通过安全工具扫描,仍未解决。
实验二:
修改tomcat 配置web.xml
加入如下内容

<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>

重启tomcat,再次使用安全工具检测,问题解决。

结论:安全工具扫描是检测tomcat安全设置,只设置单个项目不能测试通过。


阳光丽仔
关注
专栏目录
安全问题】启用了不安全HTTP方法——深度分析及解决方案
Hello_MiaoJiang的博客
09-28 7102
前言 启用了不安全HTTP方法是常见的安全报错。本文将对八种主要的HTTP方法进行原理及安全性分析,并提供简单的解决方案。 1、HTTP方法安全性分析 1.1 HTTP方法由来 HTTP协议提供了集中请求方式,每种请求方式都有不同的作用,HTTP请求可以使用多种请求方法HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 1.2 HTTP方法详述 GET方法:G
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
安全HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 3170
安全HTTP请求 漏洞原理以及修复方法
安全HTTP方法
LuckySec
11-01 3328
安全HTTP 方法一般包括:PUT、DELETE、COPY、MOVE、SEARCH、PROPFIND、TRACE 等。不合理的权限配置可能导致网站被攻击者非法入侵。使用Burpsuite抓取网站数据包,修改请求包的方法为OPTIONS,响应包中出现PUT、DELETE、TRACE等不安全HTTP 方式。
浅谈“不安全HTTP方法
→_→
05-22 2455
漏洞名称: 不安全HTTP方法、危险的HTTP方法 描述: 不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 其他说明方式如图所示: 检测条件: 已知Web网站IP地址及Web访问端口 Web业务正常运行 检测方法: 点击“开始”-“运行”,输入cmd并回车,运行nc
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 3887
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
XX平台安全扫描问题解决方案.docx
09-23
综上所述,解决XX平台安全扫描问题的关键在于加强会话管理、防止CSRF攻击、禁用不安全HTTP方法以及确保数据传输的安全性。通过实施这些策略,可以显著提高Web应用的安全性,减少潜在的安全威胁。同时,持续的监控...
密码芯片安全扫描结构及安全扫描方法研究.pdf
07-26
为了应对这一问题,作者提出了前馈异或安全扫描结构,并在扫描结构中引入了异或安全扫描寄存器,通过变换测试图形的输入和输出来加密测试图形的硬件,并对测试图形的生成算法进行了分析。这种结构通过在硬件层面上...
HttpRequestMethodNotSupportedException(HTTP请求方法不支持异常)可能的原因和解决方法
Java开源程序猿
12-30 3231
这通常涉及到请求的 HTTP 方法与服务器端配置的支持方法不匹配。在应用程序启用了 CSRF 保护机制的情况下,可能由于请求未包含正确的 CSRF 令牌而被拒绝。在使用 Spring Boot 的情况下,可能由于自动配置的问题导致某些请求方法不可用。如果请求的路径包含路径参数,确保控制器方法的映射路径正确匹配路径参数。如果应用程序中使用了自定义过滤器,可能会影响对请求方法的处理。如果在请求处理过程中发生了重定向,可能导致请求方法不匹配。客户端发送的请求使用了服务器不支持的 HTTP 方法
HTTP协议安全验证浅谈
日子头上一把刀--DRY&&KISS
10-27 276
HTTP协议是不安全的,如果没有SSL做底层支持,用HTTP Basic Authentication很容易让攻击者监听并获取到用户名和密码的信息。有人说用Base64做encode,这是没用的,攻击者获取到用户名密码后用Base64来decode一下就好了,那么为什么大多数情况我们传输的时候都要用Base64来encode呢?按照wiki上的说法:编码这一步骤的目的并不是安全与隐私,而是为将用...
Web扫描有关的工具讲解收集
不忘初心,护天下安全!
11-30 516
Wireshark抓包教程: https://mp.weixin.qq.com/s?__biz=MzA4NDk5NTYwNw==&amp;mid=2651425471&amp;idx=1&amp;sn=e9ab2a14b506c1223d2354018f12e2ed&amp;chksm=842391c7b35418d1ea0f7b12dceaa3a06abebf67852148641f4f564...
常见的http请求错误代码原因及解决方法
weixin_33794672的博客
07-22 2842
HTTP 错误 400 400 请求出错 由于语法格式有误,服务器无法理解此请求。不作修改,客户程序就无法重复此请求。 HTTP 错误 401 401.1 未授权:登录失败 此错误表明传输给服务器的证书与登录服务器所需的证书不匹配。 请与 Web 服务器的管理员联系,以确认您是否具有访问所请求资源的权限。 401.2 未授权:服务器的配置导致登录失败 此错误表明传输给服务器的证...
【高创新】基于鲸鱼优化算法WOA-Transformer-LSTM实现故障识别Matlab实现.rar
最新发布
09-18
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值