关于web系统不安全的http请求方法 OPTIONS

最新推荐文章于 2024-08-06 12:03:28 发布
最新推荐文章于 2024-08-06 12:03:28 发布
阅读量5.9k 收藏 1
点赞数
分类专栏: tomcat 文章标签: options
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songyanfei1205/article/details/80886488
版权

可在tomcat的web.xml中添加配置:

 <security-constraint>
            <web-resource-collection>
                <web-resource-name>fortune</web-resource-name>
                <url-pattern>/*</url-pattern>
                <http-method>HEAD</http-method>
                <http-method>OPTIONS</http-method>
                <http-method>TRACE</http-method>
            </web-resource-collection>
            <auth-constraint></auth-constraint>
        </security-constraint>

具体测试使用 Burb suite中的重放攻击repeater进行测试  .


残月飞鹰
关注
专栏目录
web渗透--12--不安全的HTTP方法
武天旭的博客
09-11 1万+
1、漏洞描述: 不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示: 方法 解释 PUT 向指定的目录上传文件 ...
启用了不安全的http方法漏洞
01-09
web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
禁用 OPTIONS 请求
qq_42033668的博客
07-17 1348
渗透测试结果为 不安全的HTTP方法 OPTIONS。spring项目可通过设置tomcat 或者 nginx 禁止
关于nginx HTTP安全响应问题
最新发布
dzqxwzoe的博客
08-06 875
一、背景二、http基本安全配置2.1 host头攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应头缺失2.5 Content-Security-Policy响应头缺失2.6 Strict-Transport-Security响应头缺失2.7 X-Permitted-Cross-Domain-Policies响应头缺失2.8 Referrer-Policy响应头缺失。
OPTIONS 漏洞修复
Z
12-22 6860
OPTIONS 漏洞修复。主要包括三种情况:更改 Nginx 配置、更改 Tomcat 配置、SpringBoot 项目增加过滤器。
跨域 | http请求中的 OPTIONS 详解
诗和远方,代码和你
07-31 1080
有过跨域请求的同学们应该发现过一个http请求有时会请求2次的时候,今天就给大家说说这个http请求OPTIONS方法是如何产生以及作用是啥。
post 变成option 请求的三种原因以及解决办法
SpringBears的博客
06-20 1万+
1.Http Options Method 简而言之,OPTIONS请求方法的主要用途有两个: 获取服务器支持的HTTP请求方法; 用来检查服务器的性能。 2.CORS(跨域资源共享) CORS是一种网络浏览器的技术规范,它为Web服务器定义了一种方式,允许网页从不同的域访问其资源。而这种访问是被同源策略所禁止的。CORS系统定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。 前端 客户端使用XmlHttpRequest发起Ajax请求,当前绝大部分浏览器已经支持CO...
Web应用安全HTTP请求报文.pptx
06-19
HTTP 请求报文是 Web 应用安全的重要组成部分,它由请求行、请求头和请求体三部分组成。请求行包括请求方法、URL 地址和协议名称及版本号。请求头包含多个属性,例如 Accept、Cookie、Referer 等,服务端可以根据...
安全的http方法、CSRF等漏洞修复问题
01-07
安全的 HTTP 方法是指服务器开启了不安全的 HTTP 请求方法,如 DELETE、SEARCH、COPY、MOVE、MKCOL、LOCK、PROFIND、PROPATCH、TEACR、HEAD、PUT 等。攻击者可以利用该漏洞在 web 服务器上上传、下载、修改或删除 ...
Web应用安全:HTTP方法.pptx
06-17
1、HTTP请求方法 HTTP方法 1、HTTP请求方法 HTTP方法 2、GET和POST比较 GET POST 点击返回/刷新按钮 没有影响 数据会重新提交 缓存/添加书签 可以 不可以 历史记录 有 没有 编码类型 application/x-...
Web安全测试(一):HTTP请求详解
ml202187的博客
08-22 859
安全渗透部门同事合力整理的安全测试相关资料教程,全方位涵盖电商、支付、金融、网络、数据库等领域的安全测试,覆盖Web、APP、中间件、内外网、Linux、Windows多个平台。学完后一定能成为安全大佬!《全栈安全测试教程(0基础)》HTTP1.0的请求方法了解HTTP1.0三种请求方法,GET, POST 和 HEAD掌握GET请求的标准格式掌握POST请求提交表单,上传文件的方法了解HEAD请求与GET请求的区别HTTP1.1新增的请求方法
网站漏洞处理+解决方法大全
04-12
网站漏洞处理 经过一系列分析,测试得出来的结果,里面有对跨站点请求伪造、sql注入等问题的解决方法。。。
解决安全测试输掉 提示 OPTIONS method is enabled
coding
10-08 7360
Acunetix Web Vulnerability Scanner 8扫描出了很多系统漏洞,诸如SQL注入、脚本注入、OPTIONS method is enabled 、Session Cookie without HttpOnly flag set、之类的漏洞。 一开始找了很多办法将前面几个漏洞都处理了。最后剩下OPTIONS method is enabled这个老大难。万般
SpringBoot 如何做到无感刷新 token?
良月柒
07-07 39
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 14分钟。来自:blog.csdn.net/PleaseBeStrong/article/details/138967393推荐一个程序员编程资料站:http://cxyroad.comtips:2024年IDEA最新激活方法教程,后台回复:激活码CSDN插件下载:CSDN复制插件以下是正文。1. 前言最近在搞一个鉴权认证服务...
web漏洞解决办法
热门推荐
Love life, Beyond the game! - Apollo
06-22 2万+
通过绿盟软件检测到的问题
Tomcat禁用OPTIONS协议(禁用Web请求方式)
ClearLoveQ的博客
05-14 8410
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 这时我们需要禁用一些方法,比如DELETE,PUT防止攻击者对服务器进行攻击 对于部署在tomcat上的应用来说,需要在tomcat的web.xml的配置文件中添加相应的配置,来达到禁用方法的目的: 步骤1:在web.xml文件中添加如下配置 &l...
Tomcat过滤请求方式
q908544703的博客
06-02 1596
1.修改tomcat配置文件conf的web.xml(增加红色部分) 2.新增如下内容 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87
拦截器使用技巧
没故事的码农的博客
01-18 389
背景: 最近跟一个其他平台接口交互,有个接口鉴权的问题,一个拦截器搞定。 我们调用三方多个接口都需要加上token参数,本身就springboot来说, 拿到的request 只能获取 header ,设置header 一般都是属于 客户端操作。 比如 使用 postman 可以手动设置请求头 header 如果你是使用 httpclient 的话,那么也是很容易解决这个问题的。可以私信我 因为我们项目是基于 feign调用。所以我想到的 是统一处理。代码如下 新建一个m...
跨域请求处理与跨域之OPTIONS请求
GUYyyy的博客
03-10 1519
跨域即跨域资源共享(CROS),发生在一个资源区请求不同域名的资源或同域名不同端口的资源时。 正常的解决方式: @Configuration public class GlobalCorsConfig { @Bean public CorsFilter corsFilter() { CorsConfiguration config = new CorsConfiguration(); //允许所有域名进行跨域调用 config.addAl.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

残月飞鹰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值