网络安全-使用HTTP动词篡改的认证旁路

最新推荐文章于 2024-01-07 18:08:09 发布
最新推荐文章于 2024-01-07 18:08:09 发布
阅读量2.4k 收藏 4
点赞数 2
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42723240/article/details/97757596
版权

分析AppScan扫描报告的时候,发现报告里提示“HTTP动词篡改导致的认证旁路”,于是在网上搜索资料,查到一个不错的博客:http://www.jackieathome.net/archives/363.html] 很详细的说过了生成原因,这里讲述的是针对tomcat7的,因为高版本的tomcat已经意识到了,并修复了。
网上有一种方案是配置tomcat的web.xml,禁用http下不安全的方法:

<security-constraint>
    <web-resource-collection>
        <http-method>HEAD</http-method>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>OPTIONS</http-method>
        <http-method>TRACE</http-method>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name></role-name>
    </auth-constraint>
</security-constraint>

加上以后测试仍然有这个漏洞,没有效果,郁闷。。。。

AppScan问题“HTTP动词篡改导致的认证旁路”的解决方法
这篇博客,这个里面提供的思路不错,看得出来他也配置了web.xml。这样看起来要升级tomcat的节奏?
如果要升级tomcat我讲面临和那个博主一样的问题,公司层面不好解决,而且公司也不只是用tomcat。其他的应该也存在问题。

从上面可以明显看出来这个漏洞和WebDAV 这个东西其实关系并不大,主要问题在于篡改,WebDAV 只是提供了一些方法,这些方法虽然会导致一些修改或者什么的问题。但是如果是篡改了一个不存在的方法,其实结果也是一样。好吧,其实上面那个博客最大的好处不是认识到了问题的根源,而是找到一个测试神器burpsuite。再也不用苦逼的猜了。

好吧,那么就剩下一个办法,那就是自己写过滤器(拦截器也可以)。拦截住除开get和post的方法。为啥不在web.xml配置这个?因为我试过了配置了之后我自己都登陆不上。
谁配置成功了可以告诉我,我是拿现在这个6.0的tomcat毫无办法。以后考虑升级到9.0。
写拦截器去了,祝福我能成功。

package com.zakc.darm.web;

import org.apache.commons.lang3.StringUtils;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class HttpFilter implements Filter {
	
	 FilterConfig filterConfig = null;
	private  static  final  long serialVersionUID = 1L;

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
	}

	@Override
	public void destroy() {
		this.filterConfig = null;
	}

	@Override
	public void doFilter(ServletRequest req, ServletResponse res,
			FilterChain chain) throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		
		String method = request.getMethod();
		if(!"GET".equals(method) && !"POST".equals(method) && !"HEAD".equals(method)) {
			response.setContentType("text/html;charset=GBK");
			response.setCharacterEncoding("GBK");
			response.setStatus(403);
			response.getWriter().print("<font size=6 color=red>对不起,您的是请求非法,系统拒绝响应!</font>");
			return;
		}else {
		//项目正常跳转路径
			chain.doFilter(request, response);
		
		
		}
	}

}

测试这个安全问题解决了,在这里贴上代码。项目web.xml配置过滤器

<filter>
        <filter-name>HttpCsrfFilter </filter-name>
        <filter-class>com.zakc.darm.web.HttpFilter </filter-class>
    </filter>
    <filter-mapping>
        <filter-name>HttpCsrfFilter </filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
XFTL
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用http动词篡改认证
折腾java的博客
06-09 1736
可能会升级用户特权并通过 Web 应用程序获取管理许可权可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。 测试结果似乎指示存在脆弱性,因为“测试响应”与“原始响应”完全相同,这表明动词篡改能够绕过站点认证。增加拦截器,判断请求方式是否合法,合法则放行。......
method-override:覆盖HTTP动词
02-04
方法重写 使您可以在客户端不支持的位置使用HTTP动词,例如PUT或DELETE。 安装 这是通过提供的模块。 使用完成 : $ npm install method-override ... (默认值: X-HTTP-Method-Override ) options.methods
使用 HTTP 动词篡改认证Http Verb Tempering: Bypassing Web Authentication and Authorization)
热爱生活~热爱工作~热爱每一天~
12-11 4871
Http Verb Tempering: Bypassing Web Authentication and Authorization(使用 HTTP 动词篡改认证 什么是HTTP动词HTTP VERB)? 超文本传输协议(HTTP)提供了可以用于在web服务器上执行操作的方法列表。 这些方法中的许多都旨在帮助开发人员在开发或调试阶段部署和测试HTTP应用程序。 如果web服务器配置不当,这些HTTP方法可能被用于恶意目的。 此外,还将检查一些高脆弱性,如跨站点跟踪(XST),这是一种使用
AppScan安全扫描:使用 HTTP 动词篡改认证,更多安全问题
爱兰河少
01-30 5239
一、使用 HTTP 动词篡改认证 禁用http下不安全的方法(web.xml添加代码) &lt;!-- 禁用不必要HTTP方法 --&gt; &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;url-pattern&gt;/*&lt;/url-pattern&gt; &lt;http-method&gt;PUT...
appscan漏洞-- HTTP 动词篡改认证
我想静静
02-18 3661
这个问题是指不使用规范的访问方式也能返回页面内容 1.在过滤器限制请求方式     if(!"GET".equals(method)&amp;&amp;!"POST".equals(method)&amp;&amp;!"HEAD".equals(method)){             response.setContentType("text/html;charset=GBK");
动词-be动词讲解PPT课件.ppt
09-19
动词-be动词讲解
云计算-计算动词理论的应用探究.pdf
07-02
云计算-计算动词理论的应用探究主要关注的是如何将自然语言中的动词概念转化为可计算的形式,以便更好地理解和处理人类语言,尤其是在人工智能和信息科学的背景下。计算动词理论由杨涛教授在1997年提出,旨在通过...
verb-data:动词和变位的集合
05-30
动词数据 动词和变位的集合。 格式化为 JSON 以在移动应用程序中使用。 执照 文本在知识共享署名-相同方式共享许可下可用 原始数据 原始数据来自 移动应用 以下应用程序使用这些数据: 语 应用商店 应用商店 西班牙...
情态动词+have-done用法详解.doc
07-23
情态动词+have-done用法详解
认证教程
12-03
描述如何设置交换机的镜像,配置网关实现认证的过程,文档非常详细.
修复HTTP动词篡改导致的认证问题的方法
最新发布
Jackie的家
01-07 1026
修复HTTP动词篡改导致的认证问题的方法
apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改认证漏洞
热门推荐
隐0士的博客
07-29 1万+
第一种办法:在/opt/IBM/HTTPServer/conf 下的httpd.conf也就是apache的配置文件.加上如下代码       Order Allow,Deny    Deny from all      LimitExcept 后面写的是允许经过的http方法,我这边是was8.5默认的put和delete、trace方法是禁止的,head方法
绕过Web授权和认证篡改HTTP请求
weixin_34138255的博客
09-08 892
一、什么是HTTP请求      超文本传输协议(HTTP)提供了多种请求方法来与web服务器沟通。当然,大多数方法的初衷是帮助开发者在开发或调试过程中部署和测试HTTP应用。如果服务器配置不当,这些请求方法可能被用于一些不法用途。比如:跨站跟踪(XST)是一种高危漏洞,这种跨站脚本能利用HTTP TRACE请求。   GET和POST是开发者获取服务器信息的最常用请求,没有之一。   可以列...
HTTP认证
yanchengHUST的专栏
09-11 442
什么是HTTP基本认证桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 “用户名+冒号+密码”用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 这种方式叫HTTP基本认证(Basic Authentication)当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码
使用HTTP认证
华的专栏
01-03 1123
SIP为认证系统提供了一个无状态的,试错机制,这个认证机制是基于HTTP认证机制的。任何时候proxy服务器或者UA接收到一个请求(1节例外),它尝试检查请求发起者提供的身份确认。当发起方,身份确认了,请求的接受方应当确认这个用户,是否式通过认证的。在本文档中,没有建议或者讨论认证系统。   本节描述的Digest认证机制,只提供了消息认证和复查保护,没有提供消息完整性或者机密性的保证。上述的
HTTP动词
Norstc的博客
10-09 3881
对于资源的具体操作类型,由HTTP动词表示。 常用的HTTP动词有下面五个(括号里是对应的SQL命令)。 GET(SELECT):从服务器取出资源(一项或多项)。POST(CREATE):在服务器新建一个资源。PUT(UPDATE):在服务器更新资源(客户端提供改变后的完整资源)PATCH(UPDATE):在服务器更新资源(客户端提供改变的属性)。DELETE(DELETE):从服务器
http安全与篡改
weixin_34290000的博客
01-16 149
wait
HTTP代理实现请求报文的拦截与篡改10--大结局 篡改部分的代码分析
weixin_30315435的博客
03-27 150
返回目录     上节我们把篡改的功能简单的介绍了下,这些功能看起来挺玄乎的,但明白了原理后,其实没什么东西,下面我们就来分析一下这部分的代码。 HTTP代理实现请求报文的拦截与篡改1--开篇 HTTP代理实现请求报文的拦截与篡改2--功能介绍+源码下载 HTTP代理实现请求报文的拦截与篡改3--代码分析开始 HTTP代理实现请求报文的拦截与篡改4--从客户端读取请求报文并封...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值