关于web系统不安全的http请求方法 OPTIONS

最新推荐文章于 2024-08-06 12:03:28 发布
最新推荐文章于 2024-08-06 12:03:28 发布
阅读量5.9k 收藏 1
点赞数
分类专栏: tomcat 文章标签: options
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songyanfei1205/article/details/80886488
版权

可在tomcat的web.xml中添加配置:

 <security-constraint>
            <web-resource-collection>
                <web-resource-name>fortune</web-resource-name>
                <url-pattern>/*</url-pattern>
                <http-method>HEAD</http-method>
                <http-method>OPTIONS</http-method>
                <http-method>TRACE</http-method>
            </web-resource-collection>
            <auth-constraint></auth-constraint>
        </security-constraint>

具体测试使用 Burb suite中的重放攻击repeater进行测试  .


残月飞鹰
关注
专栏目录
web渗透--12--不安全的HTTP方法
武天旭的博客
09-11 1万+
1、漏洞描述: 不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示: 方法 解释 PUT 向指定的目录上传文件 ...
启用了不安全的http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
禁用 OPTIONS 请求
qq_42033668的博客
07-17 1354
渗透测试结果为 不安全的HTTP方法 OPTIONS。spring项目可通过设置tomcat 或者 nginx 禁止
关于nginx HTTP安全响应问题
最新发布
dzqxwzoe的博客
08-06 895
一、背景二、http基本安全配置2.1 host头攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应头缺失2.5 Content-Security-Policy响应头缺失2.6 Strict-Transport-Security响应头缺失2.7 X-Permitted-Cross-Domain-Policies响应头缺失2.8 Referrer-Policy响应头缺失。
OPTIONS 漏洞修复
Z
12-22 6873
OPTIONS 漏洞修复。主要包括三种情况:更改 Nginx 配置、更改 Tomcat 配置、SpringBoot 项目增加过滤器。
跨域 | http请求中的 OPTIONS 详解
诗和远方,代码和你
07-31 1081
有过跨域请求的同学们应该发现过一个http请求有时会请求2次的时候,今天就给大家说说这个http请求OPTIONS方法是如何产生以及作用是啥。
post 变成option 请求的三种原因以及解决办法
SpringBears的博客
06-20 1万+
1.Http Options Method 简而言之,OPTIONS请求方法的主要用途有两个: 获取服务器支持的HTTP请求方法; 用来检查服务器的性能。 2.CORS(跨域资源共享) CORS是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的域访问其资源。而这种访问是被同源策略所禁止的。CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。 前端 客户端使用XmlHttpRequest发起Ajax请求,当前绝大部分浏览器已经支持CO...
Web应用安全HTTP请求报文.pptx
06-19
HTTP 请求报文是 Web 应用安全的重要组成部分,它由请求行、请求头和请求体三部分组成。请求行包括请求方法、URL 地址和协议名称及版本号。请求头包含多个属性,例如 Accept、Cookie、Referer 等,服务端可以根据...
安全的http方法、CSRF等漏洞修复问题
01-07
安全的 HTTP 方法是指服务器开启了不安全的 HTTP 请求方法,如 DELETE、SEARCH、COPY、MOVE、MKCOL、LOCK、PROFIND、PROPATCH、TEACR、HEAD、PUT 等。攻击者可以利用该漏洞在 web 服务器上上传、下载、修改或删除 ...
Web应用安全:HTTP方法.pptx
06-17
1、HTTP请求方法 HTTP方法 1、HTTP请求方法 HTTP方法 2、GET和POST比较 GET POST 点击返回/刷新按钮 没有影响 数据会重新提交 缓存/添加书签 可以 不可以 历史记录 有 没有 编码类型 application/x-...
Web安全测试(一):HTTP请求详解
ml202187的博客
08-22 861
安全渗透部门同事合力整理的安全测试相关资料教程,全方位涵盖电商、支付、金融、网络、数据库等领域的安全测试,覆盖Web、APP、中间件、内外网、Linux、Windows多个平台。学完后一定能成为安全大佬!《全栈安全测试教程(0基础)》HTTP1.0的请求方法了解HTTP1.0三种请求方法,GET, POST 和 HEAD掌握GET请求的标准格式掌握POST请求提交表单,上传文件的方法了解HEAD请求与GET请求的区别HTTP1.1新增的请求方法
各中间件禁用不安全的HTTP方法
02-10
各中间件禁用不安全的HTTP方法安全加固方法学习方法参考。
Springboot -- 网络安全漏洞处理
zhangdm的博客
02-26 9214
文章目录不安全的 HTTP 方法以及 Nginx 屏蔽版本号显示说明检测方式不安全的 HTTP 方法 处理代码屏蔽 Nginx 版本号显示点击劫持漏洞说明什么是ClickJacking检测方式处理代码XSS跨站脚本攻击说明检测方式处理代码 (参考网上的代码,主要是对传入的信息进行敏感字符的过滤) 不安全的 HTTP 方法以及 Nginx 屏蔽版本号显示 说明 Web服务器在默认情况下开放了一些不必要的HTTP方法(如OPTIONS,DELETE、PUT、TRACE、MOVE、COPY),增加了受攻击的几率,
请求的资源不支持 http 方法OPTIONS
weixin_44963437的博客
07-07 2322
实际项目中,对于WebApi的访问不一定都在同一域名下,所以进行跨域访问的时候,可能会出现如下提示:请求的资源不支持 http 方法OPTIONS”。需要对WebApi进行设置。 1、修改Web.config文件,在system.webServer节点下,新增如下代码 <httpProtocol> <customHeaders> <!--相应类型(值为逗号分隔的一个字符串,表明服务器支持的所有跨域请求方法)--> <add name="Ac
启用了不安全http请求方法 OPTIONS
星语惜馨的博客
10-22 5842
tomcat配置: 在tomcat的web.xml中添加如下的代码后重启tomcat,注意添加后只对tomcat下的目录有效。参照所需禁用的http方法添加。 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
web漏洞解决办法
热门推荐
Love life, Beyond the game! - Apollo
06-22 2万+
通过绿盟软件检测到的问题
Tomcat禁用OPTIONS协议(禁用Web请求方式)
ClearLoveQ的博客
05-14 8415
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 这时我们需要禁用一些方法,比如DELETE,PUT防止攻击者对服务器进行攻击 对于部署在tomcat上的应用来说,需要在tomcat的web.xml的配置文件中添加相应的配置,来达到禁用方法的目的: 步骤1:在web.xml文件中添加如下配置 &l...
Tomcat过滤请求方式
q908544703的博客
06-02 1596
1.修改tomcat配置文件conf的web.xml(增加红色部分) 2.新增如下内容 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87
目标服务器开启了不安全的HTTP方法OPTIONS方法
wxd110119120的专栏
03-08 6811
产生原因: 未对OPTIONS进行禁用处理。 解决办法: 对IIS管理器中的 功能视图》授权规则 设置了只允许GET, HEAD, POST 特定谓词。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

残月飞鹰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值