使用http动词篡改的认证旁路

已于 2022-06-09 15:02:37 修改
阅读量1.7k 收藏
点赞数
分类专栏: Spring SpringBoot web漏洞 文章标签: http java spring boot
于 2022-06-09 14:53:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38616723/article/details/125203176
版权

文章目录


提示:以下是本篇文章正文内容,下面案例可供参考

一、漏洞描述

在这里插入图片描述

可能会升级用户特权并通过 Web 应用程序获取管理许可权可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。
测试结果似乎指示存在脆弱性,因为“测试响应”与“原始响应”完全相同,这表明动词篡改能够绕过站点认证。

二、解决建议

增加拦截器,判断请求方式是否合法,合法则放行。

三、解决方法

Springboot 配置文件增加配置

# 信息安全
security:
  #http请求方式配置
  http:
    #是否开启(开启:true 关闭:false)
    enable: false
    #允许的请求方式
    allow:
      - POST
      - GET

编写配置类

/**
 * @author wcs
 * @desccription: 安全配置类
 * @Date: 14:13 2022/2/28
 */
@Component
@Configuration
@ConfigurationProperties(prefix = "security")
public class SecurityConfig implements InitializingBean, DisposableBean {
   


    private static Logger logger = LoggerFactory.getLogger(AspctConfig.class);
    

    /**
     * http防篡改
     */
    private HttpConfig http;

    /**
     * xss攻击
     */
    private XssConfig xss;

    public HttpConfig getHttp() {
   
        return http;
    }

    public void setHttp(HttpConfig http) {
   
        this.http = http;
    }

    public XssConfig getXss() {
   
        return xss;
    }

    public void setXss(XssConfig xss) {
   
        this.xss = xss;
    }

    @Ove
最低0.47元/天 解锁文章
java难民
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修复HTTP动词篡改导致的认证旁路问题的方法
Jackie的家
01-07 1052
修复HTTP动词篡改导致的认证旁路问题的方法
网络安全-使用HTTP动词篡改认证旁路
东风夜放花千树
07-29 2万+
这个东西去年的安全扫描都没有,今天就扫出来了,非常奇怪的一个东西。好吧,找资料找原因。结果可能应为搜索名词的原因,这个问题在群友的帮助下解决了。 在我理解中servlet只有post和get方法,然后结果怎么出来这么多奇奇怪怪的方法呢。这些方法干啥的呢?
使用 HTTP 动词篡改认证旁路Http Verb Tempering: Bypassing Web Authentication and Authorization)
热爱生活~热爱工作~热爱每一天~
12-11 4922
Http Verb Tempering: Bypassing Web Authentication and Authorization(使用 HTTP 动词篡改认证旁路 什么是HTTP动词HTTP VERB)? 超文本传输协议(HTTP)提供了可以用于在web服务器上执行操作的方法列表。 这些方法中的许多都旨在帮助开发人员在开发或调试阶段部署和测试HTTP应用程序。 如果web服务器配置不当,这些HTTP方法可能被用于恶意目的。 此外,还将检查一些高脆弱性,如站点跟踪(XST),这是一种使用
AppScan安全扫描:使用 HTTP 动词篡改认证旁路,更多安全问题
爱兰河少
01-30 5246
一、使用 HTTP 动词篡改认证旁路 禁用http下不安全的方法(web.xml添加代码) <!-- 禁用不必要HTTP方法 --> <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>PUT...
appscan漏洞-- HTTP 动词篡改认证旁路
我想静静
02-18 3666
这个问题是指不使用规范的访问方式也能返回页面内容 1.在过滤器限制请求方式     if(!"GET".equals(method)&&!"POST".equals(method)&&!"HEAD".equals(method)){             response.setContentType("text/html;charset=GBK");
方法:节点支持的HTTP动词
02-03
方法 Node.js核心的HTTP解析器支持的HTTP动词。 此模块提供的导出类似于Node.js核心中的http.METHODS ,具有以下区别: 所有方法名称均小写。 包含没有http.METHODS导出(0.10及更低版本)的Node.js版本的方法的后备...
method-override:覆盖HTTP动词
02-04
使您可以在客户端不支持的位置使用HTTP动词,例如PUT或DELETE。 安装 这是通过提供的模块。 使用完成 : $ npm install method-override API 注意在需要了解请求方法的任何模块之前使用此模块非常重要(例如,...
hapi-overriding:覆盖 HTTP 动词
06-06
hapi-overriding是一个插件,允许您覆盖传入请求的方法,在客户端不支持的地方使用 PUT 和 DELETE 等 HTTP 动词。 这个包的灵感来自 。 安装 $ npm install hapi-overriding 用法 hapi-overriding通过扩展请求生命...
安全测试报告
06-13
系统安全测试报告
动词-be动词讲解PPT课件.ppt
09-19
动词-be分为三个形式:am,is,are,根据主语的人称和数来选择使用。第一人称单数“I”后面用“am”,第三人称单数“He/She/It”后面用“is”,其余人称(第二人称“You”,第一人称和第三人称复数“We/They”)后面...
be动词用法总结PPT课件.ppt
10-09
《be动词用法总结》 be动词在英语语法中占据着至关重要的地位,它在句子中作为系动词,连接主语和表语,构成"主+系+表"的基本句型。be动词有三种形式:am、is、are,其用法根据主语的人称和数进行变化。 1. am的...
apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改认证旁路漏洞
隐0士的博客
07-29 1万+
第一种办法:在/opt/IBM/HTTPServer/conf 下的httpd.conf也就是apache的配置文件.加上如下代码       Order Allow,Deny    Deny from all      LimitExcept 后面写的是允许经过的http方法,我这边是was8.5默认的put和delete、trace方法是禁止的,head方法
绕过Web授权和认证篡改HTTP请求
weixin_34138255的博客
09-08 896
一、什么是HTTP请求      超文本传输协议(HTTP)提供了多种请求方法来与web服务器沟通。当然,大多数方法的初衷是帮助开发者在开发或调试过程中部署和测试HTTP应用。如果服务器配置不当,这些请求方法可能被用于一些不法用途。比如:站跟踪(XST)是一种高危漏洞,这种站脚本能利用HTTP TRACE请求。   GET和POST是开发者获取服务器信息的最常用请求,没有之一。   可以列...
HTTP认证
yanchengHUST的专栏
09-11 445
什么是HTTP基本认证桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 “用户名+冒号+密码”用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication)当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码
HTTP认证
sHuXnHs
07-25 141
粗略的BASIC认证 Base64解码后就能得到用户ID和密码,而且无法实现认证注销的操作. DIGEST认证 SSL认证 表单认证 Session
HTTP动词
Norstc的博客
10-09 3882
对于资源的具体操作类型,由HTTP动词表示。 常用的HTTP动词有下面五个(括号里是对应的SQL命令)。 GET(SELECT):从服务器取出资源(一项或多项)。POST(CREATE):在服务器新建一个资源。PUT(UPDATE):在服务器更新资源(客户端提供改变后的完整资源)PATCH(UPDATE):在服务器更新资源(客户端提供改变的属性)。DELETE(DELETE):从服务器
关于SpringBoot 接受Date类型以及返回时间格式的记录
热门推荐
折腾java的博客
08-30 2万+
最近开始接触SpringBoot,不得不说他很强大。 下面说说SpringBoot接受时间的问题,网上的方法很多,我就说说我自己的。 接受时间: @NotNull(message = "过期日不能为空") @DateTimeFormat(pattern="yyyy-MM-dd hh:mm:ss") private Date expired; 用@DateTime...
Http动词都有哪些?
最新发布
03-26
HTTP协议定义了以下常用的HTTP动词: 1. GET:获取资源 2. POST:提交资源 3. PUT:更新资源 4. DELETE:删除资源 5. HEAD:获取资源的元数据 6. OPTIONS:获取服务器支持的方法列表 7. CONNECT:建立连接隧道,用于代理服务器 8. TRACE:跟踪请求-响应的传输路径 除此之外,还有一些不常用的HTTP动词,如PATCH、COPY、MOVE等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值