启用不安全的HTTP方法解决方案

最新推荐文章于 2024-07-01 21:07:59 发布

Rhys_Lee

最新推荐文章于 2024-07-01 21:07:59 发布

阅读量1w

点赞数 3

分类专栏： Web安全文章标签： APPScan 安全测试 WebDAV

本文链接：https://blog.csdn.net/sdbwlr/article/details/52037832

版权

本文介绍了如何解决APPScan扫描出的安全问题，即不安全的HTTP方法如DELETE, SEARCH等。通过了解这些方法的来源，特别是WebDAV的扩展，认识到它们可能带来的威胁。解决方案是修改web.xml配置文件，限制不安全的方法访问，从而确保服务器安全。" 117408124,7242973,分布式云：云计算的未来趋势与演变,"['云计算', '分布式', '物联网', '区块链', '人工智能']

摘要由CSDN通过智能技术生成

近期通过APPScan扫描程序，发现了不少安全问题，通过大量查阅和尝试最终还是解决掉了，于是整理了一下方便查阅。

1.启用了不安全的HTTP方法

问题是这样描述的：

检查原始测试响应的“Allow”头，并验证是否包含下列一个或多个不需要的选项：DELTE，SEARCE，COPY，MOVE，PROPFIND，PROPPATCH，MKCOL，LOCK，UNLOCK，PUT。

响应头信息如下：

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
Content-Length: 0
Date: Mon, 25 Jul 2016 10:12:23 GMT

我们首先了解一下这几个方法的由来：HTTP

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rhys_Lee

关注关注

3
点赞
踩
12

收藏

觉得还不错? 一键收藏
3
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

关于HTTP协议禁用不常用方法漏洞的解决方案.docx

08-07

### 关于HTTP协议禁用不常用方法漏洞的解决方案 #### 漏洞概述在网络通信中，HTTP（超文本传输协议）是客户端与服务器之间进行数据交换的主要方式之一。HTTP定义了一系列请求方法来规范交互过程，包括但不限于GET...

4.1.HTTP网络请求原理

深情小建

09-18

672

HTTP是一种应用层协议，它通过TCP实现了可靠的数据传输，能够保证数据的完整性、正确性，而TCP对于数据传输控制的优点也能够体现在HTTP上，使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说，网络应用基本上都是C/S架构，也就是客户端/服务器架构。客户端通过向服务器发起特定的请求，服务器返回结果，客户端解析结果，再将结果展示在UI上。客户端与服务器的交互如下图：详细的交互流程有

3 条评论您还未登录，请先登录后发表或查看评论

检测到目标存在不安全的请求方法

u012465383的博客

01-12

3603

漏洞描述 Web 服务器在没有任何设置是，使用 OPTIONS 命令，可以返回所有能够响应的 HTTP 方法，如 OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK 。这些方法可能表示在服务器上启用了webdav，可能允许未授权的用户对其进行利用。的子元素是可选的，如果没有元

漏洞修复：检测到目标服务器启用了OPTIONS方法

最新发布

yjfkeifk的博客

07-01

979

IIS+asp.net网站，使用绿盟和。

web服务器启用了不安全的HTTP方法

bobozai86的博客

09-14

7977

1、什么是不安全的HTTP方法开发人员、运维人员一般可能用于调试服务器，开启了一些客户端能够直接读写服务器端文件的方法，例如：DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。 2、安全风险可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...

低危的http漏洞

qq_49015005的博客

05-21

286

1.选择网站进行抓包 2.在数据包请求方法中修改方法为OPTIONS 3.在返回数据包中会出现allow参数显示该网站允许的访问方法

启用了不安全的HTTP方法

u013673367的专栏

08-20

2036

启用了不安全的HTTP方法 2012-09-12 18:09:17| 分类： IT技术 | 标签：curl webdav tomcat 安全测试 |举报|字号订阅安全风险：可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。可能原因： Web 服务器或应用程序服务器是以不安全的方式配置的。修

微信小程序http连接访问解决方案的示例

12-01

在微信小程序开发中，由于对信息安全的重视，...这种方法既保障了数据的安全，又使得小程序可以利用HTTP API的功能。需要注意的是，这种方法可能会增加服务器的负载，因此在实际应用中需要考虑性能优化和安全性问题。

DDOS防解决方案操作与维护培训

12-27

这些解决方案通常部署在网络的边缘，通过识别和过滤恶意流量来阻止攻击。常见的防御方案有华为的URP8100设备，能够提供DDoS防护，并支持系统原理的深入学习，例如设备介绍、系统组成、系统特点、系统接口与协议、...

XX平台安全扫描问题解决方案.docx

09-23

启用不安全HTTP方法也可能导致安全风险，如PUT、DELETE、HEAD、OPTIONS和TRACE等。这些方法在某些情况下可能被恶意利用。因此，应该在Web工程或服务器的`web.xml`中进行安全配置，禁止不必要的HTTP方法，例如： ```...

iOS 9无法访问HTTP的解决方法

09-01

总的来说，虽然上述方法可以解决iOS 9设备无法访问HTTP的问题，但应被视为短期解决方案。长期而言，开发者应当尽快将服务迁移至HTTPS，以符合Apple的 ATS 要求并提供更好的用户体验和数据安全性。同时，对于第三方库...

Vue跨域请求问题解决方案过程解析

11-19

在开发Web应用时，尤其是使用前端框架如Vue.js时，我们常常会遇到跨域问题，这是因为浏览器的安全策略限制了不同源的HTTP请求。本篇文章将详细介绍如何解决Vue项目中的跨域请求问题，主要通过配置Vue的开发服务器...

.NET 单点登录解决方案

01-20

.NET 单点登录（Single Sign-On，SSO）解决方案是一种设计模式，旨在让用户在多个相关应用之间进行身份验证，只需登录一次即可访问所有系统。在Web应用开发中，确保一个用户在同一时间只能在一个地方登录是重要的...

PHP高并发和大流量解决方案整理

12-20

以下是一些关键的概念和解决方案： 1. **QPS（每秒查询率）**：QPS是衡量系统性能的关键指标，它表示系统每秒能处理的请求数量。在处理HTTP请求的场景下，QPS越高，系统处理能力越强。 2. **PV（Page View）**：PV...

企业解决方案服务网页模板

01-21

优化图片大小、利用CDN、减少HTTP请求和启用缓存策略都是提高网页性能的有效方法。 11. **易用性和可维护性**：模板应易于使用和修改，代码结构清晰，注释充分，以便于后期维护和扩展。通过理解以上知识点，...

【小迪实地】Webdav安全配置相关与漏洞利用

玫瑰安全

05-17

9022

0x00 简介 WebDAV是一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法。使应用程序可直接对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。 IIS实现Webdav是采用的其两种接口CGI、ISAPI的ISAPI

Http(四)——响应头信息(二)

黑夜

10-28

945

文章目录前言1. Allow2. `Content-Encoding`3. Content-Language4.Content-Length5. Content-Location6. Content-Range7. Content-Type8.Expires9.Last-Modified谢谢各位HTTP 头信息前言上一节我们介绍了9种响应头信息。这一节介绍剩余的10种头信息。 Allow Content-Encoding Content-Language Content-Length Content

Apache服务器配置WEBDAV详解