关于web安全问题解决方案

最新推荐文章于 2023-03-07 13:03:33 发布
最新推荐文章于 2023-03-07 13:03:33 发布
阅读量915 收藏
点赞数
分类专栏: 连接数据库 文章标签: web安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39930369/article/details/87083457
版权

启用了不安全的HTTP方法(禁用put、delete调用方式,尽量只使用post方式   内网可以用get)

危害:这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。

解决方法:如果服务器不需要支持 WebDAV,请务必禁用它。

解决方法所有控制层方法上加入限制,只允许get和post方式调用:

@RequestMapping(value="/login",method ={RequestMethod.GET, RequestMethod.POST})

点击劫持

危害:造成钓鱼等风险。

解决方法:使用http头—X-frame-option

使用Filter 过滤所有请求,set 请求头

package com.unicom.sh.pom.filter;
/**
 * Created by sh-yangsx on 2019/2/12.
 *
 * @Author yangsx
 * @date 2019/2/12
 */
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.Filter;

/**
 *@ClassName ClickFilter
 *@Description TODD
 *@AUTHOR yangsx
 *@Date 2019/2/129:03
 *@Version 1.0
 **/
public class ClickFilter implements Filter{
  
  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {  
        //必须
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        //实际设置  
        response.setHeader("x-frame-options", "SAMEORIGIN");
        //调用下一个过滤器(这是过滤器工作原理,不用动)
        chain.doFilter(request, response);
    }    
  
    public void init(FilterConfig config) throws ServletException {  
    }  
      
    public void destroy() {  
    }  


}

再有web安全问题,会一直记录下来。

Y~~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见的web安全问题及防范方法
Adam的博客
12-08 7954
sql注入漏洞名称SQL注入漏洞漏洞原理通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。漏洞分类1. 平台层SQL注入:            不安全的数据库配置或数据库平台的漏洞所致2. 代码层SQL注入:            程序员对输入未进行...
web安全
qq_43613144的博客
07-16 233
Web在ctf比赛中占有很大一部分的内容,它与现实的真实的网站漏洞有着密切的联系。它包含了很多的内容,黑客们的攻击方式也是层出不穷,作为一个小白帽,守护网络的安全,必须要求我们提升技术。我们从最为基础的ctf题目练起,认识一个一个的漏洞,开启神奇的网络安全世界。 Web题目分类 1.源码获取,扫描,弱密码爆破,js绕过 2.Php代码审计,弱类型比较 3.文件上传,文件包含 4.序列化与反序列化 ...
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下
渗透测试(Penetration Testing)
weixin_30500105的博客
09-11 1154
渗透测试(Penetration Testing) 目录 Author : ZwelL Last Updated : 2007.12.16 零、前言 一、简介 二、制定实施方案 三、具体操作过程 四、生成报告 五、测试过程中的风险及规避 参考资料 FAQ集 零、前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗...
web安全—禁用 WebDAV,或者禁止不需要的 HTTP 方法
热门推荐
jiawenbo89的专栏
08-03 1万+
WebDAV
禁用 WebDAV,或者禁止不需要的 HTTP 方法
月光秦城
08-22 4222
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
接口安全错误合集
回纹勾边宝相花团
09-15 190
X-Frame-Options Header未配置 DENY SAME ORIGIN ALLOW-FROM uri Appache Header always append X-Frame-Options SAMEORIGIN NGINX add_header X-Frame-Options SAMEORIGIN; X-Frrame-Options 使浏览器是否允许网页在"frame""iframe"标签中显示,避免被应用,避免用于ClickJacking 开启Options方法 服务器如果不需要支持W
Web应用安全解决方案.doc
11-20
Web应用安全解决方案.doc
教育行业WEB应用安全解决方案.doc
11-28
教育行业WEB应用安全解决方案.doc
WEB网站系统安全解决方案.docx
11-27
WEB网站系统安全解决方案.docx
Web安全解决方案.ppt
06-17
Web安全解决方案
数据安全Web安全解决方案介绍.pptx
03-14
MacAfee提供的数据安全Web安全解决方案旨在为组织提供全面的数据保护,以应对日益严峻的安全挑战。 首先,数据安全的核心包括数据发现、数据库和文件服务器、云存储以及应用程序特征的管理。数据发现帮助企业识别...
渗透测试常见漏洞描述及修复建议
Kak_Sky的博客
07-03 5123
常见漏洞的漏洞描述与修复建议/安全建议
安全提示:IIS不要开启“WebDAV”扩展
你要明白,任何问题都不是孤立存在的,一定有人曾经遇到过,并且已经有更好的解决办法了,只是我还不知道。我不应该在黑暗中独自前行,去重新发明轮子,也许我的顿悟,只是别人的基本功!我应该要站在巨人的肩膀上,学习更成熟的经验和方法,然后再来解决这个问题
02-22 4056
在IIS设置里,有一个“Web服务扩展”的设置,其中包括“WebDAV”扩展。许多人都不明白,这个“WebDAV”扩展是干嘛用的,要不要开启呢?有不少人的想法是“开启吧,以免影响网站运行,启用总比不启用好”。其实,这些人的想法是错误的,我们在设置服务器时,基本原则是启用的服务越少越好,能不启用就不启用,在不了解某一服务时,千万不要开启它。为什么呢?因为那怕是一个小小的不经意的配置失误,都可能造成整...
常见漏洞修复方案
Guoke324的博客
09-09 9981
常见漏洞修复方案,漏洞修复
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
Alone hackers的博客
03-07 7432
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
禁用WebDAV-Tomcat(检测到目标URL启用了不安全的HTTP方法)
zjxeastchi的博客
09-19 3860
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
启用了不安全的 HTTP 方法
weixin_33762321的博客
11-11 69
IBM appscan安全漏洞扫描--启用了不安全的 HTTP 方法 appscan修订建议: 如果服务器不需要支持 WebDAV,请务必禁用它,或禁止不必要的 HTTP 方法(动词)。 <security-constraint> <web-resource-collection> <url-pattern>...
H为供应链的变革、模式和方法.pdf
最新发布
08-24
H为供应链的变革、模式和方法.pdf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值