检测到目标存在不安全的请求方法

最新推荐文章于 2024-04-20 23:39:38 发布
最新推荐文章于 2024-04-20 23:39:38 发布
阅读量3.5k 收藏
点赞数
分类专栏: java系统安全整改
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012465383/article/details/79047694
版权

漏洞描述

         Web 服务器在没有任何设置是,使用 OPTIONS 命令,可以返回所有能够响应的 HTTP 方法,如 OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK 。这些方法可能表示在服务器上启用了webdav,可能允许未授权的用户对其进行利用。

         <security-constraint>的子元素<http-method>是可选的,如果没有 <http-method>元素,这表示将禁止所有HTTP方法访问相应的资源。 
子元素<auth-constraint>需要和 <login-config>相配合使用,但可以被单独使用。如果没有<auth-constraint>子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果<security-constraint>中没有 <auth-constraint>子元素的话,配置实际上是不起中用的。如果加入了<auth-constraint>子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。

       WebDAVWeb-basedDistributed Authoring and Versioning)是基于 HTTP 1.1的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GETPOSTHEAD等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,下面我就较详细的介绍一下,WebDAVtomcat中的配置。

如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢?
解决方法
第一步:修改应用程序的web.xml文件的协议

<?xml version="1.0" encoding="UTF-8"?>  
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
   xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  
    version="2.4">

第二步:在应用程序的web.xml中添加如下的代码即可

<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
<http-method>DELETE</http-method>  
<http-method>HEAD</http-method>  
<http-method>OPTIONS</http-method>  
<http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
 </security-constraint>  
 <login-config>  
   <auth-method>BASIC</auth-method>  
 </login-config>




许仙爱法海
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全的HTTP方法
做自己喜欢的事,并将其发挥到极致!
05-07 2347
文章目录一、常见的HTTP请求方法如下二、请求方式安全隐患三、渗透攻击检测四、修复方案 一、常见的HTTP请求方法如下 GET:Get长度限制为1024,特别快,不安全,在URL里可见,URL提交参数以 ?分隔,多个参数用 & 连接,请求指定的页面信息,并返回实体主体。 HEAD:类似于get请求,只不过返回的响应中没有具体的内容,用于获取报头。 POST:长度一般无限制,由中间件限制,较慢,安全,URL里不可见。请求的参数在数据包的请求body中。 PUT:向指定资源位置上传其最新内容。 DE
web渗透--12--不安全的HTTP方法
热门推荐
武天旭的博客
09-11 1万+
1、漏洞描述: 不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。其他说明方式如下所示: 方法 解释 PUT 向指定的目录上传文件 ...
web服务器启用了不安全的HTTP方法
bobozai86的博客
09-14 7842
1、什么是不安全的HTTP方法 开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。 2、安全风险 可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...
目标URL存在跨站漏洞_检测目标url存在跨站漏洞,2024年最新2024年网络安全知识体系总结
2401_83739284的博客
04-20 1057
例如,如果数据是由用户输入的,存储在数据库中,然后再重新显示,就必须要确保在每次检索的时候都能正确编码。如果必须允许站点用户使用HTML标签,如允许用户使用的格式化标签的公告栏,则应限制可使用的标签。服务器端编码指的是首先通过编码函数发送所有的动态内容,使用所选择字符集中的代码替换Scripting标签,这可以帮助防范跨站脚本攻击。推荐措施包括实施安全编程技术确保正确过滤用户提供的数据,并编码所有用户提供的数据以防以可执行的格式向终端用户发送注入的脚本。这可以防范以可执行的方式向终端用户发送注入的脚本。
安全的HTTP方法(测试)
cj_Hydra's Blog
09-08 2788
前言: 我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。 We
URL中的保留和不安全字符
Mr_Pang的专栏
07-25 1万+
书写URL时要使用US-ASCII字符集可以显示的字符。 http://www.google.com 如果需要在URL中使用不属于此字符集的字符,就要使用特殊的符号对该字符进行编码。 如:最常使用的空格用%20来表示,例如:http://www.google.com/new%20123.html 除了那些无法显示的字符外,还需要在URL中对那些保留(reserved)字符和
启用了不安全的http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
易语言源码易语言检测网站是否存在源码.rar
03-31
- 数据抓取:在爬虫程序中,检测目标网站是否可爬,避免无效请求。 6. **学习与进阶** 对于易语言初学者,理解并学习这个源码可以帮助掌握网络通信和异常处理的基本概念。进一步,可以扩展到学习更复杂的网络操作...
易语言检测网站是否存在
07-23
检测远程文件是否存在也是一种类似的方法,但通常需要将URL指向特定的文件路径。例如,如果URL是`http://example.com/file.txt`,你可以尝试下载这个文件,如果返回成功,说明文件存在;如果返回失败或错误,那么...
网络安全-基于C++开发的网络安全检测工具WebRobot实现.zip
04-03
1. **漏洞扫描**:WebRobot可能会包含自动化的漏洞扫描功能,能够检查目标网站是否存在已知的安全漏洞,如SQL注入、跨站脚本(XSS)、命令注入等。 2. **爬虫技术**:为了全面地扫描目标网站,WebRobot可能利用爬虫...
应用系统安全检测要求20191227
03-22
《应用系统安全检测要求20191227》这份文档主要关注的是在IT行业中,尤其是软件开发和系统管理领域,如何确保应用系统的安全性。本文档详细列出了多个关键的安全检测方面,以防止潜在的攻击和数据泄露,保证系统的...
安全测试-渗透测试-不安全的http方法问题及解决方案.doc
09-10
安全测试-渗透测试-不安全的http方法问题及解决方案.doc
安全检测GO内外链跳转页面html源码.zip
最新发布
05-06
同时,源码的作用包括防止人机交互(可能是验证码功能)和执行其他安全检查,确保只有合法的用户请求能够通过跳转。这可能是为了保护网站免受恶意攻击或垃圾流量的影响。 【标签理解】 "安全"标签表明这个源码与...
不合法的请求字符,不能包含\uxxxx格式的字符
weixin_33928137的博客
04-14 466
 不合法的请求字符,不能包含\uxxxx格式的字符 ,不支持数组转json_encode()格式, 需要直接将数组,拼合成 json格式   ** * 微信api不支持中文转义的json结构 * @param array $arr */ static function json_encode($arr) { $parts = array ()...
IBMAppScan检测安全请求,禁用TRACE,OPTION等请求
各自安好、的博客
08-04 859
背景 因项目安全检测出现不安全请求,处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式,项目中请求方只用GET,POST请求 tomact中实现 在tomcat的web.xml配置文件最后加上请求方式限制,配置如下,本次使用的tomcat 8.5.31 <security-constraint> 的子元素 <http-method> 是可选的,如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。
解决spring boot请求包含非法字符问题 The valid characters are defined in RFC 7230 and RFC 3986 错误
Ovo_ing的博客
04-14 1561
解决spring boot请求 java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986 错误 问题出在 高版本的tomcat会对请求头进行过滤 我的项目使用的springbo...
关于:请求中含有特殊字符,被禁止(已解决,可供参考)
光头迪迦
08-21 9157
页面直接报错: 请求中含有特殊字符,被禁止 以下总结下我遇到的问题:(供参考,以后遇到这种问题可以回来看看,开始我都一脸懵逼) 1、我的错误说明:点击保存数据直接页面报错了,显示请求中含有特殊字符,我特么....... 2、浏览器使用F12开发工具查看页面错误信息: 点击错误位置方法,先清空控制台错误信息,,重新点击保存方法,页面请求save方法时报错 302,被系统拦截了此请求,重定向到指定错误页面了 3、解决办法:(原因: 在我的请求中的确是存在非法字符...
字符串的安全问题
关于程序员的那些事儿
11-04 664
字符串函数的安全:数组越界,缓冲区溢出。 比如说:定义长度为10 一个数组,arr[10],设拷贝一个数组arr[10]=“abcdefghijk”, 但数组的长度为10,存在越界问题。所以为了解决这个问题,定义一个数组长度size. 拷贝数组arr[10]=“abcdefghijk”,定义一个size后拷贝结果是"abcdefghi " void Mystrcpy_s(char *des,con...
ajax请求存在安全的问题有哪些?如何解决这些不安全的很问题
LuckXinXin的博客
10-22 1636
LHttpRequest对象的介绍 Ajax的核心是JavaScript对象XmlHttpRequest。该对象在Internet Explorer 5中首次引入,它是一种支持异步请求的技术。简而言之,XmlHttpRequest使您可以使用JavaScript向服务器提出请求并处理响应,而不阻塞用户。通过XMLHttpRequest对象,Web开发人员可以在页面加载以后进行页面的局部更新 常用方...
springboot 检测目标url存在http host头攻击漏洞
08-11
在使用Spring Boot开发Web应用时,如果检测目标URL存在HTTP Host头攻击漏洞,可以采取以下措施进行防护: 首先,了解HTTP Host头攻击的原理。HTTP Host头攻击是一种利用HTTP协议中的Host头字段进行攻击的方式。攻击者通过篡改Host头字段来绕过服务器的访问控制,可能造成安全漏洞。 为了防止HTTP Host头攻击,开发人员可以采取以下几种措施: 1. 验证 Host 头字段:在服务器端对请求的Host头字段进行验证,判断是否符合预期的域名或IP地址。可以使用正则表达式等方式进行验证,如果验证失败则拒绝该请求,确保只有合法的Host信息被接受。 2. 使用白名单:确定允许访问的合法域名或IP地址,将其添加到白名单中。当接收到请求时,检查请求的Host字段是否在白名单中,如果不在则拒绝请求。 3. 设置安全的默认值:在服务器配置中设置默认的Host字段值,确保只有特定的Host字段才能被接受,其他的请求会被拒绝或重定向到安全页面。 4. 使用HTTPS协议:使用HTTPS协议可以加密通信,并且通过证书验证确保客户端和服务器之间的安全连接。这样即使Host头字段被篡改,攻击者也无法获取敏感信息。 5. 正确配置代理服务器:如果应用程序处于代理服务器后面,要确保代理服务器正确配置,不会将任意的Host头字段传递给后端服务器。 综上所述,Spring Boot开发人员可以通过验证、白名单、设置默认值、使用HTTPS协议和正确配置代理服务器等方式来防止HTTP Host头攻击漏洞的发生。这些措施能够保护Web应用的安全性,防止潜在攻击带来的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值