小记一次网站应用漏洞扫描--启动了不安全的HTTP方法(Insecure HTTP Method)及其解决方案

漏洞编号:c*********031834878bbfe891144574
漏洞等级:中危
漏洞状态:未修复
发现时间 : 2018/01/04 21:00:43 GMT+08:00
漏洞类型:不安全方法
所属域名:*******.cn
URL:http://***********
漏洞简介
攻击者可以使用OPTIONS和Trace方法来枚举服务器相关信息

处理方案
添加一下节点代码到web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加,也可以在tomcat/conf/web.xml中添加
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>fortune</web-resource-name>
			<url-pattern>/*</url-pattern>
			<http-method>PUT</http-method>
			<http-method>DELETE</http-method>
			<http-method>HEAD</http-method>
			<http-method>OPTIONS</http-method>
			<http-method>TRACE</http-method>
		</web-resource-collection>
		<auth-constraint></auth-constraint>
	</security-constraint>
	
添加完成后重启服务器,再次扫描即可。

阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。如需转载,请在文章的明显处标明本文链接! https://blog.csdn.net/qq_24484085/article/details/78977686
文章标签: 网站应用安全
个人分类: 网站应用安全
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭