禁用不安全的http方法

最新推荐文章于 2024-08-25 14:24:47 发布
最新推荐文章于 2024-08-25 14:24:47 发布
阅读量1.6w 收藏 15
点赞数 2
分类专栏: java web项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31225293/article/details/79386272
版权

上线很久的项目,后面用curl测出了一个漏洞,不安全的http方法

在网上搜索了很多都是一种解决办法,但是我这边都不行,现在我来说说我的解决办法

首先解决OPTIONS的:

修改自己应用的web.xml,添加如下配置:

<security-constraint>  
       <web-resource-collection>  
            <url-pattern>/*</url-pattern>  
            <http-method>PUT</http-method>  
            <http-method>DELETE</http-method>  
            <http-method>HEAD</http-method>  
            <http-method>OPTIONS</http-method>  
            <http-method>TRACE</http-method>  
       </web-resource-collection>  
         <auth-constraint>      
            <role-name>All Role</role-name>   
        </auth-constraint>  
         <user-data-constraint>   
               <transport-guarantee>NONE</transport-guarantee>   
          </user-data-constraint>

 </security-constraint>

也可以配置tomcat下的web.xml,区别是配置应用的web.xml只会作用于这一个应用,而配置tomcat下的web.xml可以作用于该tomcat下的所有应用。


然后再是解决TRACE的:

修改tomcat下conf/server.xml配置如下:

然后使用 curl -v -X OPTIONS http://baidu.com 测试OPTIONS的   (http://baidu.cpm 这个是你自己的项目访问路径)

使用 curl -v -X  TRACE  http://baidu.com  测试 TRACE的 (http://baidu.cpm 这个是你自己的项目访问路径)

成功的信息如下:


不会在出现 Allow:POST、GET、DELETE、OPTIONS、PUT、HEAD


最后 curl的下载和配置如下链接:

http://blog.csdn.net/qq_21126979/article/details/78690960?locationNum=10&fps=1




qq_31225293
关注
专栏目录
各中间件禁用安全HTTP方法
02-10
各中间件禁用安全HTTP方法安全加固方法学习方法参考。
关闭不安全HTTP方法
weixin_34268843的博客
10-12 382
关闭不安全HTTP方法 在项目或tomcat下的web.xml中,添加如下配置:     &lt;!-- 关闭不安全HTTP方法 --&gt; &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;web-resource-name&gt;任意名称&lt;/w...
Spring Boot使用拦截器(Interceptor)
最新发布
xiaobai_cpp的博客
08-25 530
要定义一个拦截器,你需要实现HandlerInterceptor接口,该接口包含三个方法:preHandle、postHandle和afterCompletion。preHandle:在Controller方法调用之前执行。如果返回false,则中断请求处理,不会继续调用后续的拦截器和Controller方法。postHandle:在Controller方法调用之后,但在视图渲染之前执行(如果请求处理的结果是视图的话)。:在整个请求处理完成之后执行,包括视图渲染和所有过滤器之后。主要用于资源清理工作。
禁用安全http方式-转载
johnny_niu的博客
12-23 1081
网上搜了好多禁用http请求的方法,都是介绍tomcat容器下的相关配置,但是把web项目放到weblogic容器下会报错,无论如何也启动不起来,费了一番功夫找到一篇文章,问题解决 初次使用Weblogic,因为之前是在Jboss或tomcat上部署的工程,运行正常,但是在weblogic上安装部署的时候,就出现了一个常见的问题:如下 <2014-1-7 下午02时43分15秒 CST> <Error> <J2EE> <BEA-160197> <Unab
WEB漏洞-关闭不安全HTTP方法
踮脚敲代码
12-19 6496
一.测试过程 通过手工测试,站点启动了不安全HTTP方法漏洞,详细测试如下: OPTIONS /main/login HTTP/1.1 Host: xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language
tomcat下禁用安全http方法
lionzl的专栏
11-19 1402
 tomcat下禁用安全http方法 博客分类:  java tomcatwebDav  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
01-10
它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还...
关于HTTP协议禁用不常用方法漏洞的解决方案.docx
08-07
### 关于HTTP协议禁用不常用方法漏洞的解决方案 #### 漏洞概述 在网络通信中,HTTP(超文本传输协议)是客户端与服务器之间进行数据交换的主要方式之一。HTTP定义了一系列请求方法来规范交互过程,包括但不限于GET...
验证禁用不全的http方法.txt
07-17
使用 curl -v -X TRACE http://baidu.com 测试 TRACE的 (http://baidu.cpm 这个是你自己的项目访问路径) 成功的信息如下: 不会在出现 Allow:POST、GET、DELETE、OPTIONS、PUT、HEA
如何禁用安全http 关闭不需要的HTTP方法
热门推荐
云加速
02-23 1万+
在使用http的时候,有一些是不安全不需要开启的,如何禁用安全http呢?关闭不需要的HTTP用什么方法?下面云加速来给大家讲解下: windows 2008-2012: 请在wwwroot目录建立web.config,内容如下,如果文件已经存在,请添加红色部分
Linux-查看是哪一个发行版?
power_to_go
09-22 763
root@aliyun:~# ls /etc/*release /etc/lsb-release /etc/os-release root@aliyun:~# cat /etc/lsb-release DISTRIB_ID=Ubuntu DISTRIB_RELEASE=18.04 DISTRIB_CODENAME=bionic DISTRIB_DESCRIPTION="Ubuntu 18.04.5 LTS" root@aliyun:~# cat /etc/os-release NAME="Ubuntu
jetty禁用http put和delete等方法的方式
shuipinglp的专栏
10-30 2128
1. 基于xml的配置方式 <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>...
安全漏洞:后端禁用安全http方法
阿强的博客
04-26 1494
漏洞描述: Web服务器默认情况下开放了一些不必要的http方法,如DELETE、PUT、TRACE、MOVE等,很可能会在Web服务器上上传、修改或者删除Web页面、脚本和文件。使系统容易受到攻击。 解决方案: 禁用不必要的HTTP方法,修改应用程序的Web.xml,在文件中添加如下代码: <security-constraint> <web-resource-colle...
安全HTTP方法
冰雨蝶皇的博客
07-17 9407
近日,一个上线很久的项目,后台使用curl测试时发现了一个漏洞:不安全HTTP方法,如下图所示: 一、HTTP方法 根据HTTP标准,HTTP请求可以使用多种方法,其如下所示: HTTP1.0定义了三种请求方法:GET、POST和HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE和CONNECT WebDAV (Web-based Dist...
tomcat禁用非法HTTP,设置最小连接数和最大连接数,错误页面重定向等
三朝看客
07-15 2321
tomcat禁用非法HTTP方法 编辑web.xml文件中配置 org.apache.catalina.servlets.DefaultServlet的 <init-param> <param-name>readonly</param-name> <param-value>true</param-value> </init-...
apache禁用安全http法_java-在Apache服务器上禁用OPTIONS HTTP
weixin_34098209的博客
12-24 359
Request:OPTIONS / HTTP/1.1Host: webcat.staci.comConnection: Keep-aliveAccept-Encoding: gzip,deflateUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.22...
安全加固:禁用HTTP安全方法的中间件配置指南
1. 禁用WebDAV:WebDAV模块通常会开启PUT和DELETE等不安全方法。在IIS 7中,可以通过移除HttpModule中的WebDAVModule来禁用WebDAV功能。 2. 如果需要保留WebDAV,应为特定目录配置严格的访问权限,如限制认证方法、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值