tomcat 禁用trace,put,head,post,delete 请求方式

最新推荐文章于 2024-08-13 10:12:30 发布
最新推荐文章于 2024-08-13 10:12:30 发布
阅读量3.7k 收藏 3
点赞数 1
分类专栏: tomcat 文章标签: tomcat
原文链接:https://blog.csdn.net/samz5906/article/details/79887580
版权

背景 

 项目中请求方式只有GET,POST请求,处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式。

实现

 在tomcat的web.xml配置

文件最后加上请求方式限制,配置如下,本次使用的tomcat8


<security-constraint>  
        <web-resource-collection>  
            <url-pattern>/*</url-pattern>  
	    <http-method>HEAD</http-method>  			
            <http-method>PUT</http-method>  
            <http-method>DELETE</http-method>  
            <http-method>OPTIONS</http-method>  
            <http-method>TRACE</http-method>
        </web-resource-collection>  
        <auth-constraint>  
        </auth-constraint>  
    </security-constraint>

 这里主要目的是限制服务器只接受GET,POST请求,不做其他权限限制,本配置即可满足。

问题

 经过测试,除TRACE请求其他请求方式都顺利拦截。TRACE请求返回的是405 method not allowed,也就是说TRACE没有被拦截。通过查资料发现Connector 中有个allowTrace属性,这里默认禁用了trace请求,将allowTrace设置为true就可以限制TRACE请求了,至于为什么,我的理解是Connector的优先级高于 security-constraint的配置。
 


<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
redirectPort="8443"  allowTrace="true"/>

shuxiansheng1
关注
专栏目录
[ vulhub漏洞复现篇 ] Apache Tomcat 文件包含漏洞 (CVE-2020-1938)
qq_51577576的博客
05-31 223
🍬博主介绍 👨‍🎓 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有限,欢迎各位大佬指点,相互学习进步! 目录 🍬博主介绍 一、漏洞简介 二、漏洞编号(选填) 三、漏洞靶场(选填) 1. vulhub靶场环境搭建 2. 切换到此靶场目录 3. 启动靶场 4. 查看启.....
14-1 tomcat安全基线检查
weixin_43263566的博客
12-07 1638
Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP) 和 Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为其对于Web应用的高效运行支持,即便是在性能相对有限的硬件平台上,也能保证良好的运行效率。
tomcat禁止PUT等方法
03-29
tomcat禁止PUT等方法,记录下来方便以后使用
TOMCAT禁用请求类型,如TRACE,HEAD,PUT,DELETE,OPTIONS等
qq_34192626的博客
10-12 3883
项目中常用的请求方式有GET和POST,但除了这之外还有TRACE,HEAD,PUT,DELETE,OPTIONS。由于安全目的,通常会禁用除GET和POST之外的请求方式。 经过测试,在tomcat的web.xml配置文件最后加上请求方式限制,配置如下: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="...
put请求delete请求拦截问题
最新发布
qq_53840970的博客
08-13 768
PUT 请求用于向服务器发送数据,以更新服务器上指定资源的内容。DELETE 请求用于请求服务器删除指定的资源。
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
热门推荐
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONS等HTTP请求方法,降低可攻击性。 解决办法 在tomcat的web.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
不同层面禁用PUT、DELETEHEADTRACE、OPTIONS请求方式
朱晓龙的博客
05-14 7532
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用tomcat禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
weblogic、tomcat关闭不安全的http请求
chongweimei5390的博客
08-05 1393
可以通过谷歌浏览器的插件Postman工具检测。 禁止不安全的http请求方式PUT、DELETEHEAD、OPTIONS、TRACE等,只保留GET和POST请求。其中tomcat和weblogic部署解决方案都是在web.xml中添加配置文件,但格式有所差异,详情如下: 1)...
关于HTTP协议禁用不常用方法漏洞的解决方案.docx
08-07
HTTP定义了一系列请求方法来规范交互过程,包括但不限于GET、POST、PUT、DELETEHEAD、OPTIONS、TRACE等。虽然这些方法各有其用途,但在实际应用中某些方法并不常用,甚至可能带来安全隐患。例如,PUT和DELETE方法...
Tomcat、Servlet
qq_33941450的博客
02-04 1037
bin 可执行文件目录 开启服务器 conf 配置文件目录 lib 依赖的Java类(所以没有配置JAVA_HOME运行不了) logs 日志 temp 临时文件夹 webapps 部署空间 work 项目工作目录 访问: ...
Disable TRACE Method in Tomcat
Morgan0916
12-28 313
If you are using tomcat 4.1+, 5.5+. or 6.0+, by default the TRACE method is disabled. Check your server.xml and look in the HTTP connector section for an attribute labeled "allowTrace". If set to T...
Tomcat禁用 OPTIONS 和 TRACE 并隐藏 Apache-Coyote/1.1 并启动APR模式
chuai5828的博客
07-24 1248
其实禁用OPTIONSTRACE 等动词就是禁用webdev协议 打开tomcat–>conf–>web.xml 文件: 将以下代码注释或删除: <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" x...
TOMCAT关闭不安全的HTTP方法(PUT、DELETETRACE、OPTIONS等)
06-11 4946
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POSTHEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
Web安全-Tomcat禁用Web服务器内置不安全请求方法
acooly
11-23 2283
1. 背景说明 Web安全测试中,会要求屏蔽非必要的不安全Http请求方法。一般要求保留get和post,其他的方法一般屏蔽,比如:OPTIONS,DELETE等。 本文主要收集业务系统中,不同时期,我们框架的各版本的处理方案,都基于tomcat+spring各版本体系。 2. 解决思路 使用...
Tomcat 禁用不安全的 HTTP 请求模式及测试
weixin_30708329的博客
05-22 307
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POSTHEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。 HT...
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 1万+
远端WWW服务支持TRACE请求
[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat禁用不安全的http方法
QC班长的博客
06-10 1万+
使用了360网站安全检测 查到有OPTIONS方法 第一步:修改应用程序的web.xml文件的协议 xml version="1.0" encoding="UTF-8"?> web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema
tomcat put 漏洞【CVE-2017-12615】
向安全进发的博客
04-16 345
org.apache.catalina.servlets.DefaultServlet:默认处理静态文件(除jsp,jspx之外的文件),存在PUT上传处理逻辑,可以处理PUT请求。所以我们即使可以PUT一个文件到服务器但也无法直接PUT以jsp,jspx结尾文件,因为这些这些后缀的文件都是交由JspServlet处理的,它没法处理PUT请求。org.apache.jasper.servlet.JspServlet:默认处理jsp,jspx文件请求,不存在PUT上传逻辑,无法处理PUT请求
tomcat禁用PUT 如何配置
04-13
对于这个问题,可以通过在Tomcat的web.xml文件中对HTTP方法进行配置来禁用PUT方法。具体的配置方式如下: 1. 找到Tomcat的web.xml文件,一般位于$CATALINA_HOME/conf/web.xml。 2. 在web.xml中添加如下配置: ``` <security-constraint> <web-resource-collection> <web-resource-name>Restricted methods</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> </web-resource-collection> <auth-constraint/> </security-constraint> ``` 3. 重启Tomcat服务,禁用PUT方法就生效了。 需要注意的是,禁用PUT方法可能会影响到某些应用程序的正常工作,因此在进行配置时需要仔细考虑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值