关于web安全问题解决方案

最新推荐文章于 2023-06-17 14:30:00 发布
最新推荐文章于 2023-06-17 14:30:00 发布
阅读量908 收藏
点赞数
分类专栏: 连接数据库 文章标签: web安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39930369/article/details/87083457
版权

启用了不安全的HTTP方法(禁用put、delete调用方式,尽量只使用post方式   内网可以用get)

危害:这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。

解决方法:如果服务器不需要支持 WebDAV,请务必禁用它。

解决方法所有控制层方法上加入限制,只允许get和post方式调用:

@RequestMapping(value="/login",method ={RequestMethod.GET, RequestMethod.POST})

点击劫持

危害:造成钓鱼等风险。

解决方法:使用http头—X-frame-option

使用Filter 过滤所有请求,set 请求头

package com.unicom.sh.pom.filter;
/**
 * Created by sh-yangsx on 2019/2/12.
 *
 * @Author yangsx
 * @date 2019/2/12
 */
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.Filter;

/**
 *@ClassName ClickFilter
 *@Description TODD
 *@AUTHOR yangsx
 *@Date 2019/2/129:03
 *@Version 1.0
 **/
public class ClickFilter implements Filter{
  
  
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {  
        //必须
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
        //实际设置  
        response.setHeader("x-frame-options", "SAMEORIGIN");
        //调用下一个过滤器(这是过滤器工作原理,不用动)
        chain.doFilter(request, response);
    }    
  
    public void init(FilterConfig config) throws ServletException {  
    }  
      
    public void destroy() {  
    }  


}

再有web安全问题,会一直记录下来。

Y~~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于WebDAV带来的网站潜在安全问题的疑问
程序员一一涤生
07-06 924
WebDAV:分布式创作和版本控制协议 (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可...
渗透测试(Penetration Testing)
weixin_30500105的博客
09-11 1124
渗透测试(Penetration Testing) 目录 Author : ZwelL Last Updated : 2007.12.16 零、前言 一、简介 二、制定实施方案 三、具体操作过程 四、生成报告 五、测试过程中的风险及规避 参考资料 FAQ集 零、前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗...
禁用 WebDAV,或者禁止不需要的 HTTP 方法
月光秦城
08-22 4189
WebDAVWeb-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
渗透测试常见漏洞描述及修复建议
Kak_Sky的博客
07-03 5076
常见漏洞的漏洞描述与修复建议/安全建议
常见漏洞修复方案
Guoke324的博客
09-09 9896
常见漏洞修复方案,漏洞修复
Web应用安全解决方案.doc
11-20
Web应用安全解决方案.doc
教育行业WEB应用安全解决方案.doc
11-28
教育行业WEB应用安全解决方案.doc
WEB网站系统安全解决方案.docx
11-27
WEB网站系统安全解决方案.docx
Web安全解决方案.ppt
06-17
Web安全解决方案
数据安全Web安全解决方案介绍.pptx
03-14
MacAfee提供的数据安全Web安全解决方案旨在为组织提供全面的数据保护,以应对日益严峻的安全挑战。 首先,数据安全的核心包括数据发现、数据库和文件服务器、云存储以及应用程序特征的管理。数据发现帮助企业识别...
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
Alone hackers的博客
03-07 7319
漏洞介绍及修复建议(漏洞汇总,建议收藏后期会不断更新)
禁用WebDAV-Tomcat(检测到目标URL启用了不安全的HTTP方法)
zjxeastchi的博客
09-19 3837
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET求访问首页2)使用Options方法访问首页3)head...
WEB漏洞-关闭不安全的HTTP方法
踮脚敲代码
12-19 6426
一.测试过程 通过手工测试,站点启动了不安全的HTTP方法漏洞,详细测试如下: OPTIONS /main/login HTTP/1.1 Host: xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language
WebDAV安全测试分析
na_tion的专栏
11-03 5672
本文描述IIS 6.0中WebDAV安全测试过程及注意事项,环境如下: IIS:win7 VM安装的win server 2003的IIS 6.0 使用工具:burp suit 一、判断是否开启WebDAV 1.1 IIS 6.0 中WebDAV的关闭与开启位置 1.2 WebDAV禁止与允许时,burp suit测试效果 -- PS:求中,OPTI
java禁止不需要的HTTP 方 法
charsli的专栏
10-30 732
项目安全扫描,报告: 启用了不安全的HTTP 方法 安全风险: 可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的。 修订建议: 如果服务器不需要支持WebDAV务必禁用它,或禁止不必要的HTTP 方法。 WebDAVWeb-based Distribut...
常见安全漏洞及其解决方案
最新发布
m0_61869253的博客
06-17 1541
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
共享文件格式NFS、SMB、FTP、WebDAV 各有何优势
hdxx2022的博客
10-25 8669
NFS(网络文件系统 Network File System)是一种分布式文件系统协议,力求客户端主机可以访问服务器端文件,并且其过程与访问本地存储时一样,它由 Sun 公司(已被 Oracle 收购)开发,于 1984 年发布,最新版本 NFSv4.2 于 2016 年发布。比如同步、备份手机上的照片和视频,在电视机上观看电脑中下载的影片、手机拍摄的视频,存储高清电影、音乐、VLOG 素材等。在企业中,NAS 也有着广泛的应用,其部署简单,扩展方便,在文件共享、容灾备份领域发挥了重要作用。
WebDAV有哪些优点&WebDAV配置
05-10 3765
15.2  WebDAV有哪些优点高效性:相对于即时聊天,邮件等工具或协议实现的文件共享,它占用的网络资源更少;方便性:相对于FTP等传输协议,它省去了下载和上传步骤,真正实现了文档的在线编辑,文件的复制粘贴和本地操作一样方便,并且不会碰到共享冲突方面的问题安全性:WebDAV上的文件很少受到病毒的攻击,因为其共享机制比简单文件共享(例如Windows文件夹共享)要复杂许多,同时还可以对其扩...
IBM Rational AppScan:Web应用安全测试解决方案
作为业界领先的安全解决方案,AppScan拥有端到端的防护能力,能够在应用程序开发的早期阶段就发现并修复潜在的安全问题,从而减少后期维护的成本和风险。 4WatchFire是AppScan的前身,它在Web应用安全领域具有显著...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值