Tomcat启动了不安全的HTTP方法解决办法

最新推荐文章于 2024-07-03 11:25:19 发布
最新推荐文章于 2024-07-03 11:25:19 发布
阅读量3.4k 收藏 5
点赞数 1
分类专栏: tomcat 文章标签: tomcat 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangpingguo/article/details/109315269
版权

一、漏洞描述:

目标服务器启用了不安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。

平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。

二、解决办法

把他们关闭即可!!!

添加以下节点代码到web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加,也可以在tomcat/conf/web.xml中添加:

<!-- close insecure http methods -->
<security-constraint>
    <web-resource-collection>
        <web-resource-name>fortune</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>HEAD</http-method>
        <http-method>OPTIONS</http-method>
        <http-method>TRACE</http-method>
    </web-resource-collection>
    <auth-constraint></auth-constraint>
</security-constraint>
两苹果
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
禁用WebDAV-Tomcat(检测到目标URL启用了不安全HTTP方法
zjxeastchi的博客
09-19 3833
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
AppScan扫描启用了不安全的“OPTIONS”HTTP 方法
liudoyang的博客
12-26 3391
**服务器禁止不需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用了不安全的“OPTIONS”HTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat解决办法。现在记录一下websphere解决问题思路,给使用we...
linux centos tomcat安全HTTP请求方法
最新发布
qq_42250832的博客
07-03 483
3、进入tomcat conf目录vim web.xml,增加以下内容。curl -v -X OPTIONS http://实际地址。curl -v -X OPTIONS http://实际地址。4、重启tomcat服务即可修复该漏洞。2、在linux主机可使用此命令查看。无allow显示则成功。
【AppScan深入浅出】修复漏洞:启用安全HTTP方法 (中)
weixin_30553837的博客
09-23 267
最近一直刷新AppScan的下限,对于Appscan报出的中危漏洞“启用安全HTTP方法”。分析了其扫描机制,以及处理方法和绕开方法。如果不耐烦看分析过程,请直接跳到文章最后看处理方法。 0. 漏洞背景 “启用了不安全HTTP 方法”属于“中”危漏洞。漏洞描述是:根据APPSCAN的报告,APPSCAN通过OPTIONS请求,当响应中发现DELETE、SEA...
正确修复:启用安全HTTP方法方法-apache
hzjhss的博客
09-03 350
原文链接:https://blog.csdn.net/BoZhihouci/article/details/116942082。当重启apache服务之后,再次构造OPTIONS方法会出现403错误,这样问题就解决了吗?这样一来,当出现不存在的http方法时,apache也会打印如OPTIONS的作用一样的信息。怀着好奇的心思,恢复了apache默认配置,仍然是这个问题。重启服务之后再次验证,http方法果然减少,但还是有TRACE方法存在,再次测试,此时已全部解决,如有疑问,可以留言,我们继续讨论。
WebSphere启用TRACE,OPTIONS等不安全HTTP方法漏洞修复
LENGTH18的博客
08-27 4130
WebSphere启用TRACE,OPTIONS等不安全HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
tomcat 禁用不安全http请求方式
热门推荐
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
Eclipse启动Tomcat后无法访问项目解决办法
01-20
Eclipse启动Tomcat后无法访问项目解决办法 前言: Eclipse中的Tomcat可以正常启动,不过发布项目之后,无法访问,包括http://localhost:8080/的小猫页面也无法访问到,报404错误。这是因为Eclipse所指定的Server ...
eclipse启动tomcat无法访问的解决方法
09-04
解决办法: 1. 首先,需要重新配置Eclipse中的Tomcat服务器。在Eclipse的Servers视图中,找到并双击Tomcat服务器,打开服务器配置页面。 2. 你会注意到一个选项“Use workspace metadata (does not modify Tomcat ...
tomcat端口被占用解决办法1
08-08
标题“Tomcat端口被占用解决办法1”指的是在运行Tomcat服务器时遇到的一个常见问题,即8080端口已经被其他进程占用,导致Tomcat无法正常启动。8080是默认的Tomcat HTTP服务端口,当这个端口被其他应用程序使用时,...
关于tomcat7无法登陆manager问题解决办法
11-10
### 关于Tomcat7无法登录Manager问题解决办法 在日常的Web开发与部署工作中,Tomcat作为一款广泛使用的Java应用服务器,其管理界面(Manager)为开发者提供了诸多便利。然而,在使用过程中,用户可能会遇到无法登录...
安全漏洞:后端禁用不安全http方法
阿强的博客
04-26 1461
漏洞描述: Web服务器默认情况下开放了一些不必要的http方法,如DELETE、PUT、TRACE、MOVE等,很可能会在Web服务器上上传、修改或者删除Web页面、脚本和文件。使系统容易受到攻击。 解决方案: 禁用不必要的HTTP方法,修改应用程序的Web.xml,在文件中添加如下代码: <security-constraint> <web-resource-colle...
网络安全XSS跨站脚本攻击漏洞和不安全HTTP方法的修补
Funky_oaNiu的博客
12-23 1828
一、项目背景 一个Springboot+MyBatis+Redis+MySQL的辣鸡小项目。奈何再小的项目也需要保证安全,今天提交给测试部门做渗透测试,打回来两个网络安全漏洞,网上有很多“模糊”的修改办法,我们来看看具体怎么修补吧。 二、漏洞描述 1.不安全HTTP方法安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员
禁止tomcat安全HTTP请求方法并屏蔽tomcat默认的报错信息
06-03 4345
Tomcat版本 8.0.15 1、禁止tomcat安全HTTP请求方法 在 ./conf/web.xml 中 第一步:将<web-app>协议替换为:【此处协议有可能不需要替换】 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" x.
接口启用了不安全的HEAD和OPTIONS方法怎么解决
道阻且长,行则将至 行而不辍,未来可期
12-14 2410
前言: 我们的漏洞扫描团队测试,测试出来到了一个登录的bug漏洞; 需要修复: 解决办法1 ,直接返回403,请求方法=if ($request_method ~* OPTIONS) server { listen 80; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; if ($req.
目标URL启用了不安全HTTP方法
教官的博客
10-30 774
修复目标URL启用了不安全HTTP方法
Tomcat漏洞复现
Bird&Bird
12-28 5421
目录一、漏洞描述二、影响范围三、漏洞分析四、环境搭建五、漏洞复现 一、漏洞描述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615)。当存在漏洞的Tomcat 运行在 Windows 主机上,且启用HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务
安全HTTP方法
LuckySec
11-01 3267
安全HTTP 方法一般包括:PUT、DELETE、COPY、MOVE、SEARCH、PROPFIND、TRACE 等。不合理的权限配置可能导致网站被攻击者非法入侵。使用Burpsuite抓取网站数据包,修改请求包的方法为OPTIONS,响应包中出现PUT、DELETETRACE等不安全HTTP 方式。
常规web渗透测试漏洞描述及修复建议
weixin_34150830的博客
11-12 1778
Apache样例文件泄漏 测试方法   在链接的根目录中添加examples或者docs目录进行访问判断! 漏洞描述  apache一些样例文件没有删除,可能存在cookie、session伪造,进行后台登录操作 修复建议  1、删除样例文件 2、对apache中web.xml进行相关设置 弱口令 测试方法   先手工尝试一些最基本的弱口令,如admin...
Tomcat启动闪退:原因与解决策略
本文主要讨论了Tomcat启动闪退的原因和解决方法,涉及Java环境问题、内存不足、端口冲突、配置文件错误、版本不兼容、应用程序错误等多个可能导致问题的因素,并提供了相应的解决步骤和建议。 ## 可能出现的问题及...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值