tomcat禁用PUT,DELETE等一些不必要的HTTP方法

最新推荐文章于 2024-05-02 13:31:38 发布
最新推荐文章于 2024-05-02 13:31:38 发布
阅读量1.8w 收藏 17
点赞数 1
分类专栏: 渗透解决 文章标签: tomcat禁用put
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangbiao9292/article/details/90606064
版权

前言

在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONS等HTTP请求方法,降低可攻击性。

解决办法

在tomcat的web.xml中设置一些参数即可:
在这里插入图片描述
可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  
    version="2.4">

<security-constraint>  
  <web-resource-collection>  
  <url-pattern>/*</url-pattern>  
    <http-method>PUT</http-method>  
	    <http-method>DELETE</http-method>  
	    <http-method>HEAD</http-method>  
	    <http-method>OPTIONS</http-method>  
	    <http-method>TRACE</http-method> 
  </web-resource-collection>  
	<auth-constraint>  
	</auth-constraint>  
</security-constraint>  
<login-config>  
	<auth-method>BASIC</auth-method>  
</login-config>
李卓书
关注
  • 1
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jetty禁用http put和delete方法的方式
shuipinglp的专栏
10-30 2086
1. 基于xml的配置方式 <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>...
tomcat中间件禁用webdav方法
01-02
tomcat中间件禁用webdav方法 通过本方法,可以完成所有运行于该tomcat之上的java项目均拦截webdav方法
不同层面禁用PUT、DELETE、HEAD、TRACE、OPTIONS请求方式
朱晓龙的博客
05-14 6840
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用tomcat禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)
最新发布
weixin_45653478的博客
05-02 926
在Apache Tomcat服务器中,PUT方法通常用于上传文件。攻击者可以通过发送PUT请求,将恶意文件上传到服务器。当攻击者发送PUT请求时,Tomcat服务器会将请求中的数据写入指定的文件。如果攻击者能够控制文件路径,那么他们可以将恶意文件写入任意位置,从而实现任意文件写入。
如何禁止不必要HTTP 方法,如DELETE,PUT,OPTIONS等协议访问应用程序
热门推荐
BabyFace゛‐尐蔡。的博客
02-01 1万+
一、修改应用程序的server.xml文件的协议为HTTPS,       disableUploadTimeout="true" enableLookups="false" maxThreads="25"      keystoreFile="d:\tomcat.keystore" keystorePass="111111"     protocol="org.apache.coyote
TOMCAT禁用请求类型,如TRACE,HEAD,PUT,DELETE,OPTIONS等
qq_34192626的博客
10-12 3495
项目中常用的请求方式有GET和POST,但除了这之外还有TRACE,HEAD,PUT,DELETE,OPTIONS。由于安全目的,通常会禁用除GET和POST之外的请求方式。 经过测试,在tomcat的web.xml配置文件最后加上请求方式限制,配置如下: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="...
tomcat 禁用不安全的http请求方式
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
tomcat禁止PUT等方法
03-29
tomcat禁止PUT等方法,记录下来方便以后使用
tomcat 禁用不安全的http请求模式(转)
iteye_4720的博客
12-14 547
tomcat 禁用不安全的http请求方式(转) 1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy /* PUT DELETE HEAD OPTIONS ...
TOMCAT关闭不安全的HTTP方法(PUT、DELETE、TRACE、OPTIONS等)
06-11 4784
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
HOWTO:在 Tomcat禁用 HTTP 方法
allway2的博客
07-21 1734
在安全相关扫描中出现的一个常见项目是网站或Web应用程序中允许的HTTP方法。对于我们这些使用ApacheTomcat而不是像Apache或IIS这样的前端Web服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。安全约束虽然不如ApacheWeb服务器中的那些完整,但却是保护Web应用程序的一种非常有用的方法。本HOWTO专注于在指定的URI上禁用HTTP方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。...
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的...
tomcat同时使用httphttps访问的配置方法
09-30
主要介绍了tomcat同时使用httphttps访问的配置方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
tomcat 禁用trace,put,head,post,delete 请求方式
samz5906的专栏
04-10 1万+
背景  项目中请求方式只有GET,POST请求,处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式。实现 在tomcat的web.xml配置文件最后加上请求方式限制,配置如下,本次使用的tomcat8&lt;security-constraint&gt; &lt;web-resource-collection&gt; ...
Tomcat下浏览器DELETE请求拒绝访问
chrise_的博客
06-21 2498
这是因为Apache问题的原因,当时也是百思不得其解 我发现在Linux下就行,浏览器上就不行 后来仔细观察是因为Linux下会自动转换为POST的请求发出去 于是我们可以在web.xml下加入一个过滤器 配置如下: filter> filter-name>CorsFilterfilter-name> filter-class>org.apache.catalina.
Tomcat的PUT的上传漏洞(CVE-2017-12615)
蚁景网安学院
10-17 641
近期在项目中碰到的ApacheTomcat中间件愈来愈多,于是乎。想着做一个整理。将ApacheTomcat中间件的几大较为重要的高危漏洞做一个总结整理复现。用作来巩固更新自己的知识库。...
tomcat put 漏洞【CVE-2017-12615】
向安全进发的博客
04-16 273
org.apache.catalina.servlets.DefaultServlet:默认处理静态文件(除jsp,jspx之外的文件),存在PUT上传处理逻辑,可以处理PUT请求。所以我们即使可以PUT一个文件到服务器但也无法直接PUT以jsp,jspx结尾文件,因为这些这些后缀的文件都是交由JspServlet处理的,它没法处理PUT请求。org.apache.jasper.servlet.JspServlet:默认处理jsp,jspx文件请求,不存在PUT上传逻辑,无法处理PUT请求。
tomcat wedav 禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序
建伟博客
09-18 1351
http://jiessiedyh.iteye.com/blog/418316 http://blog.csdn.net/mqboss/article/details/7466736 http://blog.csdn.net/huang_xw/article/details/6194232 http://lgstarzkhl.iteye.com/blog/534125 http://www...
tomcat禁用PUT 如何配置
04-13
对于这个问题,可以通过在Tomcat的web.xml文件中对HTTP方法进行配置禁用PUT方法。具体的配置方式如下: 1. 找到Tomcat的web.xml文件,一般位于$CATALINA_HOME/conf/web.xml。 2. 在web.xml中添加如下配置: ``` <security-constraint> <web-resource-collection> <web-resource-name>Restricted methods</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> </web-resource-collection> <auth-constraint/> </security-constraint> ``` 3. 重启Tomcat服务,禁用PUT方法就生效了。 需要注意的是,禁用PUT方法可能会影响到某些应用程序的正常工作,因此在进行配置时需要仔细考虑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李卓书

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值