启用不安全的HTTP方法解决方案

最新推荐文章于 2024-07-01 21:07:59 发布
最新推荐文章于 2024-07-01 21:07:59 发布
阅读量1w 收藏 12
点赞数 3
分类专栏: Web安全 文章标签: APPScan 安全 测试 WebDAV
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdbwlr/article/details/52037832
版权
本文介绍了如何解决APPScan扫描出的安全问题,即不安全的HTTP方法如DELETE, SEARCH等。通过了解这些方法的来源,特别是WebDAV的扩展,认识到它们可能带来的威胁。解决方案是修改web.xml配置文件,限制不安全的方法访问,从而确保服务器安全。" 117408124,7242973,分布式云:云计算的未来趋势与演变,"['云计算', '分布式', '物联网', '区块链', '人工智能']
摘要由CSDN通过智能技术生成

近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。

1.启用了不安全的HTTP方法

问题是这样描述的:

检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,MOVE,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK,PUT。

响应头信息如下:

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
Content-Length: 0
Date: Mon, 25 Jul 2016 10:12:23 GMT

我们首先了解一下这几个方法的由来:HTTP

最低0.47元/天 解锁文章
Rhys_Lee
关注
专栏目录
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
安全HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 3156
安全HTTP请求 漏洞原理以及修复方法
漏洞修复:检测到目标服务器启用了OPTIONS方法
最新发布
yjfkeifk的博客
07-01 963
IIS+asp.net网站,使用绿盟和。
检测http方法是否开启put方法
weixin_33709609的博客
03-13 2085
安装如下httpRequester插件 检测方法如下: 进入插件  
解决安全扫描Insecure HTTP Methods Enabled的问题
weixin_33693070的博客
11-19 957
今天把Spring MVC的Java网站部署到CentOS上,并且设置了https/ssl 8443端口,然后用IBM Rational AppScan进行安全扫描,发现一个漏洞:Insecure HTTP Methods Enabled. 原因是Tomcat支持的http命令中包含DELETE、OPTIONS、PUT、HEAD和TRACE这五条命令。    漏洞描述和建议: Ins...
关于解决不安全HTTP方法的验证方案
will-E之居
08-04 2638
最近产品要进行安全漏洞检查,发现安全HTTP方法的验证方案。通过网上找了一些方案,我总结有两种: 一、通过pound前置机来解决,我通过网上的方案验证没有通过(原因没有详查),方案可《http://bbs.csdn.net/topics/390159756》 二、通过修改web.xml解决,但是根据网上的方案进行配置,但是问题没有解决掉。最后无奈我重置了所有的配置文件,一步一步的文件迭代调测
安全问题】启用了不安全HTTP方法——深度分析及解决方案
Hello_MiaoJiang的博客
09-28 7097
前言 启用了不安全HTTP方法是常见的安全报错。本文将对八种主要的HTTP方法进行原理及安全性分析,并提供简单的解决方案。 1、HTTP方法安全性分析 1.1 HTTP方法由来 HTTP协议提供了集中请求方式,每种请求方式都有不同的作用,HTTP请求可以使用多种请求方法HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 1.2 HTTP方法详述 GET方法:G
关于HTTP协议禁用不常用方法漏洞的解决方案.docx
08-07
### 关于HTTP协议禁用不常用方法漏洞的解决方案 #### 漏洞概述 在网络通信中,HTTP(超文本传输协议)是客户端与服务器之间进行数据交换的主要方式之一。HTTP定义了一系列请求方法来规范交互过程,包括但不限于GET...
微信小程序http连接访问解决方案的示例
12-01
在微信小程序开发中,由于对信息安全的重视,...这种方法既保障了数据的安全,又使得小程序可以利用HTTP API的功能。需要注意的是,这种方法可能会增加服务器的负载,因此在实际应用中需要考虑性能优化和安全性问题。
各中间件禁用不安全HTTP方法
02-10
各中间件禁用不安全HTTP方法安全加固方法学习方法参考。
低危的http漏洞
qq_49015005的博客
05-21 286
1.选择网站进行抓包 2.在数据包请求方法中修改方法为OPTIONS 3.在返回数据包中会出现allow参数显示该网站允许的访问方法
安全HTTP方法
做自己喜欢的事,并将其发挥到极致!
05-07 2381
文章目录一、常见的HTTP请求方法如下二、请求方式安全隐患三、渗透攻击检测四、修复方案 一、常见的HTTP请求方法如下 GET:Get长度限制为1024,特别快,不安全,在URL里可见,URL提交参数以 ?分隔,多个参数用 & 连接,请求指定的页面信息,并返回实体主体。 HEAD:类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头。 POST:长度一般无限制,由中间件限制,较慢,安全,URL里不可见。请求的参数在数据包的请求body中。 PUT:向指定资源位置上传其最新内容。 DE
web服务器启用了不安全HTTP方法
bobozai86的博客
09-14 7972
1、什么是不安全HTTP方法 开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。 2、安全风险 可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...
web渗透--12--不安全HTTP方法
热门推荐
武天旭的博客
09-11 1万+
1、漏洞描述: 不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示: 方法 解释 PUT 向指定的目录上传文件 ...
Weblogic与Tomcat中不安全HTTP方法排查与解决
解决方案的关键在于修改服务器配置,特别是在war包的web.xml文件中,通过添加元素来定义资源集合,限制这些不安全HTTP方法,并启用基本认证。这种做法旨在封堵潜在的攻击入口,提升应用程序的安全防护水平。对于...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值