网络安全-使用HTTP动词篡改的认证旁路

最新推荐文章于 2024-01-07 18:08:09 发布
最新推荐文章于 2024-01-07 18:08:09 发布
阅读量2.5k 收藏 4
点赞数 2
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42723240/article/details/97757596
版权

分析AppScan扫描报告的时候,发现报告里提示“HTTP动词篡改导致的认证旁路”,于是在网上搜索资料,查到一个不错的博客:http://www.jackieathome.net/archives/363.html] 很详细的说过了生成原因,这里讲述的是针对tomcat7的,因为高版本的tomcat已经意识到了,并修复了。
网上有一种方案是配置tomcat的web.xml,禁用http下不安全的方法:

<security-constraint>
    <web-resource-collection>
        <http-method>HEAD</http-method>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>OPTIONS</http-method>
        <http-method>TRACE</http-method>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name></role-name>
    </auth-constraint>
</security-constraint>

加上以后测试仍然有这个漏洞,没有效果,郁闷。。。。

AppScan问题“HTTP动词篡改导致的认证旁路”的解决方法
这篇博客,这个里面提供的思路不错,看得出来他也配置了web.xml。这样看起来要升级tomcat的节奏?
如果要升级tomcat我讲面临和那个博主一样的问题,公司层面不好解决,而且公司也不只是用tomcat。其他的应该也存在问题。

从上面可以明显看出来这个漏洞和WebDAV 这个东西其实关系并不大,主要问题在于篡改,WebDAV 只是提供了一些方法,这些方法虽然会导致一些修改或者什么的问题。但是如果是篡改了一个不存在的方法,其实结果也是一样。好吧,其实上面那个博客最大的好处不是认识到了问题的根源,而是找到一个测试神器burpsuite。再也不用苦逼的猜了。

好吧,那么就剩下一个办法,那就是自己写过滤器(拦截器也可以)。拦截住除开get和post的方法。为啥不在web.xml配置这个?因为我试过了配置了之后我自己都登陆不上。
谁配置成功了可以告诉我,我是拿现在这个6.0的tomcat毫无办法。以后考虑升级到9.0。
写拦截器去了,祝福我能成功。

package com.zakc.darm.web;

import org.apache.commons.lang3.StringUtils;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class HttpFilter implements Filter {
	
	 FilterConfig filterConfig = null;
	private  static  final  long serialVersionUID = 1L;

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
	}

	@Override
	public void destroy() {
		this.filterConfig = null;
	}

	@Override
	public void doFilter(ServletRequest req, ServletResponse res,
			FilterChain chain) throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		
		String method = request.getMethod();
		if(!"GET".equals(method) && !"POST".equals(method) && !"HEAD".equals(method)) {
			response.setContentType("text/html;charset=GBK");
			response.setCharacterEncoding("GBK");
			response.setStatus(403);
			response.getWriter().print("<font size=6 color=red>对不起,您的是请求非法,系统拒绝响应!</font>");
			return;
		}else {
		//项目正常跳转路径
			chain.doFilter(request, response);
		
		
		}
	}

}

测试这个安全问题解决了,在这里贴上代码。项目web.xml配置过滤器

<filter>
        <filter-name>HttpCsrfFilter </filter-name>
        <filter-class>com.zakc.darm.web.HttpFilter </filter-class>
    </filter>
    <filter-mapping>
        <filter-name>HttpCsrfFilter </filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
XFTL
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用http动词篡改认证旁路
折腾java的博客
06-09 1778
可能会升级用户特权并通过 Web 应用程序获取管理许可权可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。 测试结果似乎指示存在脆弱性,因为“测试响应”与“原始响应”完全相同,这表明动词篡改能够绕过站点认证。增加拦截器,判断请求方式是否合法,合法则放行。......
verb-data:动词和变位的集合
05-30
动词数据 动词和变位的集合。 格式化为 JSON 以在移动应用程序中使用。 执照 文本在知识共享署名-相同方式共享许可下可用 原始数据 原始数据来自 移动应用 以下应用程序使用这些数据: 语 应用商店 应用商店 西班牙...
使用 HTTP 动词篡改认证旁路Http Verb Tempering: Bypassing Web Authentication and Authorization)
热爱生活~热爱工作~热爱每一天~
12-11 4922
Http Verb Tempering: Bypassing Web Authentication and Authorization(使用 HTTP 动词篡改认证旁路 什么是HTTP动词HTTP VERB)? 超文本传输协议(HTTP)提供了可以用于在web服务器上执行操作的方法列表。 这些方法中的许多都旨在帮助开发人员在开发或调试阶段部署和测试HTTP应用程序。 如果web服务器配置不当,这些HTTP方法可能被用于恶意目的。 此外,还将检查一些高脆弱性,如跨站点跟踪(XST),这是一种使用
method-override:覆盖HTTP动词
02-04
方法重写 使您可以在客户端不支持的位置使用HTTP动词,例如PUT或DELETE。 安装 这是通过提供的模块。 使用完成 : $ npm install method-override API 注意在需要了解请求方法的任何模块之前使用此模块非常重要(例如,必须在csurf模块之前使用它)。 methodOverride(getter,选项) 创建一个新的中间件函数,以新值覆盖req.method属性。 该值将从提供的getter提取。 getter用于查找请求的重写请求方法的getter。 (默认值: X-HTTP-Method-Override ) options.methods
安全篇 ━━ 整改php和IIS(根据安全等级保护评估、渗透测试报告)
暂时先用这个名字
10-16 7139
1、 目标URL存在http host头攻击漏洞 在代码部分注释_SERVER[“HTTP_HOST”]方法,仅留_SERVER["SERVER_NAME”] 2、 会话cookie中缺少HttpOnly属性 在代码部分开启HttpOnly 在服务器开启httpOnlyCookies为True 3、 目标X-Content-Type-Options响应头缺失 在代码部分设置X-Content-Type-Options为nosniff 在IIS设置X-Content-Type-Options为nosn
修复HTTP动词篡改导致的认证旁路问题的方法
最新发布
Jackie的家
01-07 1052
修复HTTP动词篡改导致的认证旁路问题的方法
AppScan安全扫描:使用 HTTP 动词篡改认证旁路,更多安全问题
爱兰河少
01-30 5246
一、使用 HTTP 动词篡改认证旁路 禁用http下不安全的方法(web.xml添加代码) &lt;!-- 禁用不必要HTTP方法 --&gt; &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;url-pattern&gt;/*&lt;/url-pattern&gt; &lt;http-method&gt;PUT...
动词-be动词讲解PPT课件.ppt
09-19
动词-be分为三个形式:am,is,are,根据主语的人称和数来选择使用。第一人称单数“I”后面用“am”,第三人称单数“He/She/It”后面用“is”,其余人称(第二人称“You”,第一人称和第三人称复数“We/They”)后面...
云计算-计算动词理论的应用探究.pdf
07-02
云计算-计算动词理论的应用探究主要关注的是如何将自然语言中的动词概念转化为可计算的形式,以便更好地理解和处理人类语言,尤其是在人工智能和信息科学的背景下。计算动词理论由杨涛教授在1997年提出,旨在通过...
hapi-overriding:覆盖 HTTP 动词
06-06
hapi-overriding是一个插件,允许您覆盖传入请求的方法,在客户端不支持的地方使用 PUT 和 DELETE 等 HTTP 动词。 这个包的灵感来自 。 安装 $ npm install hapi-overriding 用法 hapi-overriding通过扩展请求生命...
详解为新版Apache服务器开启HTTP/2支持的方法
09-15
主要介绍了在Apache服务器中开启HTTP/2的方法,HTTP/2被称为未来的新HTTP协议,需要的朋友可以参考下
apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改认证旁路漏洞
热门推荐
隐0士的博客
07-29 1万+
第一种办法:在/opt/IBM/HTTPServer/conf 下的httpd.conf也就是apache的配置文件.加上如下代码       Order Allow,Deny    Deny from all      LimitExcept 后面写的是允许经过的http方法,我这边是was8.5默认的put和delete、trace方法是禁止的,head方法
appscan漏洞-- HTTP 动词篡改认证旁路
我想静静
02-18 3666
这个问题是指不使用规范的访问方式也能返回页面内容 1.在过滤器限制请求方式     if(!"GET".equals(method)&amp;&amp;!"POST".equals(method)&amp;&amp;!"HEAD".equals(method)){             response.setContentType("text/html;charset=GBK");
HTTP认证
sHuXnHs
07-25 141
粗略的BASIC认证 Base64解码后就能得到用户ID和密码,而且无法实现认证注销的操作. DIGEST认证 SSL认证 表单认证 Session
Nginx常见漏洞处理
a630192144的博客
08-25 2970
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
绕过Web授权和认证篡改HTTP请求
weixin_34138255的博客
09-08 896
一、什么是HTTP请求      超文本传输协议(HTTP)提供了多种请求方法来与web服务器沟通。当然,大多数方法的初衷是帮助开发者在开发或调试过程中部署和测试HTTP应用。如果服务器配置不当,这些请求方法可能被用于一些不法用途。比如:跨站跟踪(XST)是一种高危漏洞,这种跨站脚本能利用HTTP TRACE请求。   GET和POST是开发者获取服务器信息的最常用请求,没有之一。   可以列...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值