AppScan扫描启用了不安全的“OPTIONS”HTTP 方法

最新推荐文章于 2024-02-11 14:14:52 发布
最新推荐文章于 2024-02-11 14:14:52 发布
阅读量3.2k 收藏 2
点赞数 1
文章标签: 过滤器 java tomcat websphere
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liudoyang/article/details/103719592
版权

**服务器禁止不需要的 HTTP 方法## **
目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用了不安全的“OPTIONS”HTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat的解决办法。现在记录一下websphere解决问题思路,给使用websphere的同学们提供一个参考。
首先是Tomcat的解决办法:
1.将web.xml协议改为

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
         version="2.4">

2.在web.xml中加入以下代码

 <security-constraint>
        <web-resource-collection>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
             <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint></auth-constraint>
    </security-constraint>
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>

重启服务器,postman用OPTIONS请求发现allow中已经没有上述代码中的请求方法。
tips:踩坑过程中,我只加入了第二步中的代码,亲测有效。

然后是websphere的解决办法:
解决思路是利用过滤器将我们不需要的,也就是检测出来不安全的请求方法过滤掉
1.创建一个自定义过滤器

package com.dxl.project.filter;

import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class MethodsFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(
            HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {

        if ("GET".equals(request.getMethod())||"POST".equals(request.getMethod())) {
            filterChain.doFilter(request, response);
        }
    }
}

2.在web.xml中配置过滤器,我将这个过滤器放在了所有过滤器的最上面

<!-- http请求方法过滤器 -->
    <filter>
        <filter-name>methodsFilter</filter-name>
        <filter-class>com.dxl.project.filter.MethodsFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>methodsFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

重启服务器,postman用OPTIONS请求,发现Headers中并无allow。
在查找资料的过程中我发现有用weblogic的小伙伴也有遇到相同的问题,或许能提供一种思路。

liudoyang
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web 应用程序报告: 启用了不安全的“OPTIONSHTTP 方法 建议:禁用 WebDAV,或者禁止不需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 4873
Web 应用程序报告 有一项叫做启用了不安全的“OPTIONSHTTP 方法 然后他会建议 禁用WebDAV,或者禁止不需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
4.1.HTTP网络请求原理
深情小建
09-18 651
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
启用了不安全http请求方法 OPTIONS
星语惜馨的博客
10-22 5755
tomcat配置: 在tomcat的web.xml中添加如下的代码后重启tomcat,注意添加后只对tomcat下的目录有效。参照所需禁用http方法添加。 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
漏洞挖掘-不安全HTTP方法
weixin_48421613的博客
01-09 3509
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
安全HTTP请求 漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
02-11 1551
安全HTTP请求 漏洞原理以及修复方法
正确修复:启用安全HTTP方法方法-apache
hzjhss的博客
09-03 324
原文链接:https://blog.csdn.net/BoZhihouci/article/details/116942082。当重启apache服务之后,再次构造OPTIONS方法会出现403错误,这样问题就解决了吗?这样一来,当出现不存在的http方法时,apache也会打印如OPTIONS的作用一样的信息。怀着好奇的心思,恢复了apache默认配置,仍然是这个问题。重启服务之后再次验证,http方法果然减少,但还是有TRACE方法存在,再次测试,此时已全部解决,如有疑问,可以留言,我们继续讨论。
安全扫描工具 AppScan9.0.3.7 破解版
08-07
1、下载文件,安装AppScan_Std_9.0.3.7_Eval_Win .exe 2、安装完成以后安装9.0.3.7_iFix003-Update更新包 3、安装完更新包,将破解补丁LicenseProvider.dll和AppScanSDK.dll复制到安装路径下替换源文件
安全扫描工具AppScan10
05-29
IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞。AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...
web安全 扫描工具 Appscan .zip
05-27
一款强大的 web安全 扫描工具,可以对网站等 Web 应用 进行自动化的 应用安全扫描和 测试。
AppScan扫描工具
11-21
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库...
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
AppScan 8.7_服务器安全扫描
07-04
**AppScan 8.7:服务器安全扫描利器** AppScan 8.7 是一款专业的服务器安全扫描工具,专为确保企业服务器的安全性而设计。它提供了全面的分析功能,能够帮助系统管理员检测并修复潜在的安全漏洞,从而保护服务器免...
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法漏洞修复
LENGTH18的博客
08-27 4042
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
AppScan深入浅出】修复漏洞:启用安全HTTP方法 (中)
weixin_30553837的博客
09-23 257
最近一直刷新AppScan的下限,对于Appscan报出的中危漏洞“启用安全HTTP方法”。分析了其扫描机制,以及处理方法和绕开方法。如果不耐烦看分析过程,请直接跳到文章最后看处理方法。 0. 漏洞背景 “启用了不安全HTTP 方法”属于“中”危漏洞。漏洞描述是:根据APPSCAN的报告,APPSCAN通过OPTIONS请求,当响应中发现DELETE、SEA...
tomcat登录违反协议_解决 Tomcat禁用OPTIONS协议(不安全HTTP方法
weixin_31507527的博客
01-17 1410
最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是:启用OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用HTTP方法列表解决方案:你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用;打开tomcat–>conf–>...
Apache WEB服务器启用OPTIONS方法
lizhihua0625的博客
08-18 1161
Apache WEB服务器启用OPTIONS方法
服务器上启用了TRACE,OPTIONS || 缓慢的HTTP请求导致拒绝服务攻击 || IBM WebSphere/WebLogic文件读取漏洞绕过限制
大河向东流的博客
11-07 3524
服务器上启用了TRACE方法 || 服务器允许OPTIONS方法 || 缓慢的HTTP请求导致拒绝服务攻击 || IBM WebSphere/WebLogic文件读取漏洞绕过限制 1.修改Tomcat下的web.xml文件 &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;http-method&gt;OP...
通过options探测服务器信息,WEB服务器启用OPTIONS方法
weixin_30843553的博客
08-10 2085
漏洞描述攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法:windows2008、windows2012,请在wwwroot目录建立web.config,内容如下windows 2003,打开控制面板-ISAPI筛选器-启用自定义重写组件,然后编辑httpd.conf,如果您已有其他规则,请添加到最上面RewriteEngine on...
[轻微]WEB服务器启用OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat禁用安全http方法
热门推荐
QC班长的博客
06-10 1万+
使用了360网站安全检测 查到有OPTIONS方法 第一步:修改应用程序的web.xml文件的协议 xml version="1.0" encoding="UTF-8"?> web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema
如何解决appscan扫描出来的安全漏洞 查询中接受的主体参数
03-10
对于这个问题,可以通过以下几个步骤来解决: 1. 首先,需要对扫描结果进行分析,确定哪些漏洞是真正存在的,哪些是误报的。 2. 然后,需要根据漏洞的类型和级别,采取相应的修复措施,比如升级软件版本、修复代码漏洞等。 3. 在修复漏洞的同时,还需要加强安全意识教育,提高开发人员的安全意识,避免类似漏洞再次出现。 总之,解决安全漏洞需要综合考虑多个因素,包括技术手段、管理措施和人员素质等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值