启用不安全的HTTP方法解决方案

最新推荐文章于 2024-07-01 21:07:59 发布
最新推荐文章于 2024-07-01 21:07:59 发布
阅读量1w 收藏 12
点赞数 3
分类专栏: Web安全 文章标签: APPScan 安全 测试 WebDAV
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdbwlr/article/details/52037832
版权
本文介绍了如何解决APPScan扫描出的安全问题,即不安全的HTTP方法如DELETE, SEARCH等。通过了解这些方法的来源,特别是WebDAV的扩展,认识到它们可能带来的威胁。解决方案是修改web.xml配置文件,限制不安全的方法访问,从而确保服务器安全。" 117408124,7242973,分布式云:云计算的未来趋势与演变,"['云计算', '分布式', '物联网', '区块链', '人工智能']
摘要由CSDN通过智能技术生成

近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。

1.启用了不安全的HTTP方法

问题是这样描述的:

检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,MOVE,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK,PUT。

响应头信息如下:

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
Content-Length: 0
Date: Mon, 25 Jul 2016 10:12:23 GMT

我们首先了解一下这几个方法的由来:HTTP

最低0.47元/天 解锁文章
Rhys_Lee
关注
专栏目录
解决安全扫描Insecure HTTP Methods Enabled的问题
weixin_33693070的博客
11-19 957
今天把Spring MVC的Java网站部署到CentOS上,并且设置了https/ssl 8443端口,然后用IBM Rational AppScan进行安全扫描,发现一个漏洞:Insecure HTTP Methods Enabled. 原因是Tomcat支持的http命令中包含DELETE、OPTIONS、PUT、HEAD和TRACE这五条命令。    漏洞描述和建议: Ins...
关于解决不安全HTTP方法的验证方案
will-E之居
08-04 2638
最近产品要进行安全漏洞检查,发现安全HTTP方法的验证方案。通过网上找了一些方案,我总结有两种: 一、通过pound前置机来解决,我通过网上的方案验证没有通过(原因没有详查),方案可《http://bbs.csdn.net/topics/390159756》 二、通过修改web.xml解决,但是根据网上的方案进行配置,但是问题没有解决掉。最后无奈我重置了所有的配置文件,一步一步的文件迭代调测
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
安全HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 3170
安全HTTP请求 漏洞原理以及修复方法
漏洞修复:检测到目标服务器启用了OPTIONS方法
最新发布
yjfkeifk的博客
07-01 980
IIS+asp.net网站,使用绿盟和。
检测http方法是否开启put方法
weixin_33709609的博客
03-13 2085
安装如下httpRequester插件 检测方法如下: 进入插件  
安全问题】启用了不安全HTTP方法——深度分析及解决方案
Hello_MiaoJiang的博客
09-28 7102
前言 启用了不安全HTTP方法是常见的安全报错。本文将对八种主要的HTTP方法进行原理及安全性分析,并提供简单的解决方案。 1、HTTP方法安全性分析 1.1 HTTP方法由来 HTTP协议提供了集中请求方式,每种请求方式都有不同的作用,HTTP请求可以使用多种请求方法HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 1.2 HTTP方法详述 GET方法:G
关于HTTP协议禁用不常用方法漏洞的解决方案.docx
08-07
### 关于HTTP协议禁用不常用方法漏洞的解决方案 #### 漏洞概述 在网络通信中,HTTP(超文本传输协议)是客户端与服务器之间进行数据交换的主要方式之一。HTTP定义了一系列请求方法来规范交互过程,包括但不限于GET...
微信小程序http连接访问解决方案的示例
12-01
在微信小程序开发中,由于对信息安全的重视,...这种方法既保障了数据的安全,又使得小程序可以利用HTTP API的功能。需要注意的是,这种方法可能会增加服务器的负载,因此在实际应用中需要考虑性能优化和安全性问题。
各中间件禁用不安全HTTP方法
02-10
各中间件禁用不安全HTTP方法安全加固方法学习方法参考。
低危的http漏洞
qq_49015005的博客
05-21 286
1.选择网站进行抓包 2.在数据包请求方法中修改方法为OPTIONS 3.在返回数据包中会出现allow参数显示该网站允许的访问方法
web服务器启用了不安全HTTP方法
bobozai86的博客
09-14 7978
1、什么是不安全HTTP方法 开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。 2、安全风险 可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...
tomcat 禁用不安全http请求方式
热门推荐
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
安全HTTP方法
Decaede的博客
02-27 1661
HTTP方法是一组用于与web服务器通信的协议命令。最常被用到的方法是:GET和POSTGET、POST和HEAD是HTTP 1.0定义的三种请求方法。OPTIONS、PUT、DELETE、TRACE和CONNECT是HTTP 1.1新增的物种方法
WEB漏洞——启动了不安全HTTP方法解决办法
崔向阳@李晓的博客
12-06 2025
一问题描述: IBM Security AppScan Standard给出系统安全报告: 解决办法: 添加一下节点代码到web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加: <!-- close insecure http methods --> <security-constraint> <web-resourc...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值