提示:以下是本篇文章正文内容,下面案例可供参考
一、漏洞描述
可能会升级用户特权并通过 Web 应用程序获取管理许可权可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。
测试结果似乎指示存在脆弱性,因为“测试响应”与“原始响应”完全相同,这表明动词篡改能够绕过站点认证。
二、解决建议
增加拦截器,判断请求方式是否合法,合法则放行。
三、解决方法
Springboot 配置文件增加配置
# 信息安全
security:
#http请求方式配置
http:
#是否开启(开启:true 关闭:false)
enable: false
#允许的请求方式
allow:
- POST
- GET
编写配置类
/**
* @author wcs
* @desccription: 安全配置类
* @Date: 14:13 2022/2/28
*/
@Component
@Configuration
@ConfigurationProperties(prefix = "security")
public class SecurityConfig implements InitializingBean, DisposableBean {
private static Logger logger = LoggerFactory.getLogger(AspctConfig.class);
/**
* http防篡改
*/
private HttpConfig http;
/**
* xss攻击
*/
private XssConfig xss;
public HttpConfig getHttp() {
return http;
}
public void setHttp(HttpConfig http) {
this.http = http;
}
public XssConfig getXss() {
return xss;
}
public void setXss(XssConfig xss) {
this.xss = xss;
}
@Ove