Tomcat禁用不安全的HTTP方法经历

最新推荐文章于 2024-05-01 13:34:28 发布
最新推荐文章于 2024-05-01 13:34:28 发布
阅读量3.5k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shen3422/article/details/80563274
版权

主要是在tomcat的web.xml或者项目的web.xml中配置以下参数

<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>

2,上面参数理论上来说可以禁止PUT,DELETE,HEAD,OPTIONS,TRACEZ等方法访问tomcat,但是http的返回码不同,其中PUT,DELETE,HEAD,OPTIONS的返回码是403,表示此请求已经被服务器锁禁止,但是 TRACE返回的404,表示此请求直接不存在,并且提示  用户可以使用POST,GET,  PUT,DELETE,HEAD,OPTIONS,等请求去访问,电科院测试这块默认不可以提示用户可以使用PUT,DELETE,HEAD,OPTIONS去进行请求,

3,修改方法单独  TRACE请求为什么会未禁止,并提示上面信息,主要是因为   TRACE请求在tomcat中已经默认完全禁止,既此请求已不存在  ,所以才会返回 404  ,而不是403   ,想通过电科院测试可以直接修改  tomcat的默认配置 ,既先将tomcat中 的 TRACE 请求开启,,在通过上面 1 的配置参数就会 统一返回  403了   

4,tomca开启 TRACE方法如下   

 

<Connector executor="tomcatThreadPool"
               port="8080" protocol="HTTP/1.1" 
               connectionTimeout="20000"
                URIEncoding="utf-8"               
               redirectPort="8443"
               allowTrace="true" 
               />

allowTrace="true"  代表开启  TRACE方法

shen3422
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
TomcatHTTP安全头配置
sll19891018的博客
03-19 8348
    安全http响应头是网络防护中非常重要的一环,如今,浏览器支持了一些HTTP安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。[X-FRAME-OPTIONS]  这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UI redressing 补偿样式攻击。OpenAS Tomcat默认值:sameorigin [X...
tomcat中间件禁用webdav方法
01-02
tomcat中间件禁用webdav方法 通过本方法,可以完成所有运行于该tomcat之上的java项目均拦截webdav方法
tomcat 禁用安全http请求方式
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序
tanghongming2012的专栏
07-20 2100
简介  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁
2024年网安最全不安全HTTP方法
最新发布
2401_84266016的博客
05-01 133
(6)GET请求会被浏览器主动cache,而POST不会,除非手动设置。(7)GET在浏览器回退时是无害的,而POST会再次提交请求。(1)GET 和 POST,用的都是同一个传输层协议,所以在传输上没有区别。(2)GET 方法 和 POST都可以传输实体的主体 (但一般不用GET方法进行传输,而是用POST方法;虽然GET方法和POST方法很相似,但是POST的主要目的并不是获取响应的主体内容)。
HOWTO:在 Tomcat禁用 HTTP 方法
allway2的博客
07-21 1768
安全相关扫描中出现的一个常见项目是网站或Web应用程序中允许的HTTP方法。对于我们这些使用ApacheTomcat而不是像Apache或IIS这样的前端Web服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。安全约束虽然不如ApacheWeb服务器中的那些完整,但却是保护Web应用程序的一种非常有用的方法。本HOWTO专注于在指定的URI上禁用HTTP方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。...
禁止tomcat安全HTTP请求方法并屏蔽tomcat默认的报错信息
06-03 4292
Tomcat版本 8.0.15 1、禁止tomcat安全HTTP请求方法 在 ./conf/web.xml 中 第一步:将<web-app>协议替换为:【此处协议有可能不需要替换】 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" x.
tomcat禁用非法HTTP,设置最小连接数和最大连接数,错误页面重定向等
三朝看客
07-15 2287
tomcat禁用非法HTTP方法 编辑web.xml文件中配置 org.apache.catalina.servlets.DefaultServlet的 <init-param> <param-name>readonly</param-name> <param-value>true</param-value> </init-...
TOMCAT禁用请求类型,如TRACE,HEAD,PUT,DELETE,OPTIONS等
qq_34192626的博客
10-12 3574
项目中常用的请求方式有GET和POST,但除了这之外还有TRACE,HEAD,PUT,DELETE,OPTIONS。由于安全目的,通常会禁用除GET和POST之外的请求方式。 经过测试,在tomcat的web.xml配置文件最后加上请求方式限制,配置如下: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="...
tomcat 禁用trace,put,head,post,delete 请求方式
shuxiansheng1的博客
07-15 3582
背景 项目中请求方式只有GET,POST请求,处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式。 实现 在tomcat的web.xml配置 文件最后加上请求方式限制,配置如下,本次使用的tomcat8 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
TOMCAT关闭不安全HTTP方法(PUT、DELETE、TRACE、OPTIONS等)
06-11 4815
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
web安全tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
因此,在不需要WebDAV功能或者希望增强服务器安全性的情况下,应该考虑禁用这些不必要的HTTP方法。 对于Tomcat服务器,禁用WebDAV或特定HTTP方法可以通过修改应用程序的`web.xml`配置文件来实现。以下是具体步骤: ...
关于Tomcat的AJP端口禁用.docx
04-08
总之,禁用Tomcat的AJP端口是加强服务器安全的重要步骤,尤其是在不使用AJP通信或存在安全顾虑时。通过以上方法,您可以根据实际需求选择合适的方式来禁用或限制AJP服务,从而提高系统的整体安全性。
tomcat禁用RC4的方法
12-14
禁用RC4(SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】) 编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,修改如下: 复制代码 ...
Tomcat启动了不安全HTTP方法解决办法
liangpingguo的博客
10-27 3331
一、漏洞描述: 目标服务器启用了不安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。
禁用WebDAV-tomcat
xm_koma的专栏
07-20 775
     由于要处理一份关于公司的一个公众用户网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法禁用。       WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一...
处理weblogic、tomcat关闭不安全http请求
Linuxprobe18的博客
08-24 1673
导读 不安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 禁止不安全http请求方式PUT、DELETE、HEAD、OPTIONS、TRACE等,只保留GET和POST请求。其中tomcat和weblogic部署解决方案都是在web.xml中添加配置文件,但格式有所差异,详情如下: Tom
Tomcat的相对安全设置与配置(安全与漏洞)
spring_is_coming的博客
09-29 2581
前言: 近期, 系统进行了漏洞测试, 更改了很多东西, 特写一篇文章进行记录 !!! 1丶存在Apache tomcat示例文件 解决方案: 删除webapps目录下的自带项目 2丶启用了不安全HTTP方法 解决方案: 禁用未使用到的HTTP方法 // 在web.xml文件中添加, 下面在<web-app>标签中配置 <security-constraint> <web-resource-collection> <url-pattern>/*&lt
Spring boot 内置tomcat禁止不安全HTTP方法
热门推荐
井底之蛙
10-16 2万+
1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止不安全HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2、Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
tomcat修改web.xml配置禁用options方法
06-07
禁用 Tomcat 中的 OPTIONS 方法,可以通过修改 web.xml 文件来实现。具体方法是在 web.xml 文件中添加一个名为 "default" 的 servlet,并将其映射到 "/*" 路径。然后,将 "default" servlet 的 "enableLookups" ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值