TOMCAT禁用不安全请求方式

最新推荐文章于 2022-10-22 17:33:25 发布
最新推荐文章于 2022-10-22 17:33:25 发布
阅读量248 收藏
点赞数
原文链接:http://www.cnblogs.com/yuanye007/p/7294253.html
版权

查看tomcat日志,发现有些请求方式是CONNECT、HEAD,不是正常的请求,决定禁掉这样的。在web.xml上加上下面代码可以禁掉这些请求方式,以这些方式请求服务tomcat将会返回403状态。

(加在tomcat/conf/web.xml下会对整个tomcat生效,加在单个项目下只会对这个项目生效)

<security-constraint>  
    <web-resource-collection>  
        <url-pattern>/*</url-pattern>  
        <http-method>PUT</http-method>  
        <http-method>DELETE</http-method>  
        <http-method>HEAD</http-method>  
        <http-method>OPTIONS</http-method>  
        <http-method>TRACE</http-method>
        <http-method>CONNECT</http-method>
    </web-resource-collection>  
    <auth-constraint></auth-constraint>  
</security-constraint>

转载于:https://www.cnblogs.com/yuanye007/p/7294253.html

weixin_30347335
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat禁用RC4的方法
12-14
禁用RC4(SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】) 编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,修改如下: 复制代码
企业级Tomcat部署实践及安全调优1
08-03
- **负载均衡**:通过Nginx或Apache HTTPD分发请求到多个Tomcat实例,提升整体处理能力。 总结,企业级Tomcat部署不仅涉及基础的安装和配置,还需要关注安全性和性能优化。通过对JDK的合理使用和对Tomcat的深入理解...
处理weblogic、tomcat关闭不安全的http请求
Linuxprobe18的博客
08-24 1689
导读 不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 禁止不安全的http请求方式PUT、DELETE、HEAD、OPTIONS、TRACE等,只保留GET和POST请求。其中tomcat和weblogic部署解决方案都是在web.xml中添加配置文件,但格式有所差异,详情如下: Tom
tomcat禁用options等请求协议
wtjhaoxia的博客
07-10 1387
最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是: 启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表 解决方案: 你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 打开tomcat–>con...
TOMCAT禁用请求类型,如TRACE,HEAD,PUT,DELETE,OPTIONS等
qq_34192626的博客
10-12 3590
项目中常用的请求方式有GET和POST,但除了这之外还有TRACE,HEAD,PUT,DELETE,OPTIONS。由于安全目的,通常会禁用除GET和POST之外的请求方式。 经过测试,在tomcat的web.xml配置文件最后加上请求方式限制,配置如下: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="...
Tomcat禁用安全的方法.md
Diligent_ten的博客
12-29 552
验证启用了不安全的HTTP方法验证启用了不安全的HTTP方法 安全风险 可能原因 修订建议 方法简介 渗透测试步骤 使用curl测试 使用网站监测 解决方案 安全风险:可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。可能原因:Web 服务器或应用程序服务器是以不安全的方式配置的。修订建议:如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。方法简介:除标准
tomcat 禁用安全的http请求方式
热门推荐
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
tomcat_爆破.zip
04-10
2. **Tomcat安全设置**:学习如何正确配置Tomcat以提高安全性,包括限制远程管理、使用SSL/TLS加密通信、设置强密码、禁用不必要的服务和端口,以及定期更新到最新版本以修补已知安全漏洞。 3. **目录遍历攻击**:...
tomcat漏洞处理.zip
05-15
2. **配置安全**:合理配置Tomcat服务器,包括限制连接器的访问,禁用不必要的服务和端口。 3. **使用安全的默认值**:修改默认的管理员账号名和密码,避免因默认设置被攻击。 4. **应用防火墙**:使用防火墙或者...
apache-tomcat-10.0.22
07-14
例如,某些不安全的协议和密码套件默认禁用。 **部署和管理** 1. **管理工具**:Tomcat 10提供了一个管理Web应用程序的控制台,可以方便地管理应用程序部署、用户角色和服务器配置。 2. **日志和监控**:通过JMX...
详解tomcat各个端口的作用
01-20
如果不需要这个功能,可以通过修改`server.xml`文件中的端口号或者完全禁用来增强安全性。 在安全配置中,可能需要禁用AJP端口(8009)以防止不必要的外部访问,只需在`server.xml`文件中注释掉相关的Connector配置...
如何禁用安全请求方式
jam__zheng的博客
10-12 2417
HTTP请求1.0支持:post  get  head HTTP请求1.1的时候支持了:put delete  options trace connect 可以自行禁止使用哪些请求,只需要在web.xml中添加配置信息: &lt;security-constraint&gt;      不通过编程就可以限制对某个资源的访问         &lt;web-resource-collectio...
Web安全-Tomcat禁用Web服务器内置不安全请求方法
acooly
11-23 2134
1. 背景说明 Web安全测试中,会要求屏蔽非必要的不安全Http请求方法。一般要求保留get和post,其他的方法一般屏蔽,比如:OPTIONS,DELETE等。 本文主要收集业务系统中,不同时期,我们框架的各版本的处理方案,都基于tomcat+spring各版本体系。 2. 解决思路 使用...
解决 Tomcat禁用OPTIONS协议(不安全的HTTP方法)
p15097962069的博客
04-11 874
解决 Tomcat禁用OPTIONS协议(不安全的HTTP方法)
WebSphere应用服务器中https 请求协议的相关注意事项(服务器使用代理上Internet)
b129266314387022的博客
10-22 419
最近遇到个需求需要web服务器应用通过https方式请求外部Internet服务器的接口,一开始本地测试时使用以下代码: String businessCode = "SH30580"; GenerateXml xml = new GenerateXml(); String xmlContent = xml.writeXmlString(businessCode); ...
HOWTO:在 Tomcat禁用 HTTP 方法
allway2的博客
07-21 1783
安全相关扫描中出现的一个常见项目是网站或Web应用程序中允许的HTTP方法。对于我们这些使用ApacheTomcat而不是像Apache或IIS这样的前端Web服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。安全约束虽然不如ApacheWeb服务器中的那些完整,但却是保护Web应用程序的一种非常有用的方法。本HOWTO专注于在指定的URI上禁用HTTP方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。...
Tomcat隐藏版本号和禁用OPTIONS.
weixin_43915921的博客
01-14 1929
Tomcat隐藏版本号
Tomcat禁用OPTIONS协议(禁用Web请求方式)
ClearLoveQ的博客
05-14 8293
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 这时我们需要禁用一些方法,比如DELETE,PUT防止攻击者对服务器进行攻击 对于部署在tomcat上的应用来说,需要在tomcat的web.xml的配置文件中添加相应的配置,来达到禁用方法的目的: 步骤1:在web.xml文件中添加如下配置 &l...
Web服务安全
qq_19462809的博客
10-22 3660
Web服务从来就不是安全的,即使使用没有任何问题的代码,它仍然面临着很多威胁。这些威胁万网来自于Web服务本身,一方面来自于通信协议的不安全,另一方面来自于Web服务器的部署。长期以来,Web客户端与web服务端一致使用HTTP通信,而这种协议存在很多问题,从而导致中间人欺骗等多种攻击方式的产生。目前HTTP正逐渐被HTTPS所取代。但针对HTTPS的攻击也从未停止过。
tomcat部署禁用浏览器缓存
最新发布
05-25
Tomcat 部署时禁用浏览器缓存可以通过在 web.xml 文件中添加以下代码来实现: ```xml <!-- 禁用浏览器缓存 --> <filter-name>CacheControlFilter <filter-class>org.apache.catalina.filters.CacheControlFilter...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值