apache http上传过慢_不安全的HTTP方法渗透测试

最新推荐文章于 2023-09-03 19:28:47 发布
最新推荐文章于 2023-09-03 19:28:47 发布
阅读量434 收藏
点赞数
文章标签: apache http上传过慢
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31905417/article/details/112490553
版权

常见的HTTP请求方法有GET、POST和HEAD,除此以外还有WebDAV请求方法。WebDAV是一项基于 Http1.1 协议的通信协议。它扩展了HTTP 1.1,在Get、Post、Put、Delete 等HTTP标准方法外添加了新方法,使应用程序可对Web Server直接读写。

PUT  向指定的目录上传文件
DELETE 删除指定的文件
COPY 将指定的资源复制到Destination消息头指定的位置
MOVE 将指定的资源移动到Destination消息头指定的位置
SEARCH 在一个目录路径中搜索资源
PROPFIND 获取与指定资源有关的信息,如作者、大小与内容类型
TRACE 在响应中返回服务器收到的原始请求

以上的方法都属于WebDAV的请求方法。

严格来说这个不算是Web服务器的漏洞,而是配置不当引起的安全风险,下面以Tomcat搭建环境,演示“启用了不安全的HTTP方法”渗透测试过程。

环境搭建

环境所需安装包 下载地址 : Tomcat v7.0.47 http://archive.apache.org/d ist/tomcat/tomcat-7/v7.0.47/bin/
最低0.47元/天 解锁文章
凡哥Eva
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞:不安全http请求方法,tomcat 禁用http method。代码解决
12-16 2654
问题描述:通过fiddler,使用raw重现HTTP请求,修改GET为TRACE重新请求。tomcat返回405,head 包含 Allow:POST,GET,DELETE,OPTIONS,PUT,HEAD 解决方法:使用filter进行过滤和处理。 1.修改tomcat的server.xml,允许trace方法:<Connector allowTrace="true"   2...
使用Apache ab进行http性能测试
01-09
Mac自带了Apache环境 打开“终端(terminal)”,输入 sudo apachectl -v,(可能需要输入机器秘密)。如下显示Apache的版本 接着输入 sudo apachectl start,这样Apache就启动了。打开Safari浏览器地址栏输入 ...
启用不安全HTTP方法-正确修复方法-apache
薄炙厚词的博客
05-17 3156
apachehttp——启用不安全http方法修复方案 @Time : 2021/5/17 下午5:04 @Author : 开始编辑~ 说明 apache默认安装之后,会开启多个http方法, 网络上有好多个修复方式是通过过滤的形式进行限制,但是治标不治本 如果只使用过滤http方法进行限制会出现下列问题 使用过滤限制http请求方法的步骤 在httpd.conf配置文件中取消mod_rewrite.so模块的注释 #LoadModule rewrite_module modules/mod_r
Apache HTTP Server中间件安全基线配置与操作指南
Bird&Bird
10-21 1410
1、账号管理 1.1、账号安全设置 安全基线项目名称 Apache 用户帐号安全基线要求项 安全基线编号 ZJLY-apache-001 安全基线项说明 配置专门用户账号和组用于运行 Apache。 设置操作步骤 创建 Apache 用户和组。 修改 http.conf 配置文件,添加以下语句: User apache 或 nob
正确修复:启用不安全HTTP方法方法-apache
最新发布
hzjhss的博客
09-03 342
原文链接:https://blog.csdn.net/BoZhihouci/article/details/116942082。当重启apache服务之后,再次构造OPTIONS方法会出现403错误,这样问题就解决了吗?这样一来,当出现不存在的http方法时,apache也会打印如OPTIONS的作用一样的信息。怀着好奇的心思,恢复了apache默认配置,仍然是这个问题。重启服务之后再次验证,http方法果然减少,但还是有TRACE方法存在,再次测试,此时已全部解决,如有疑问,可以留言,我们继续讨论。
TOMCAT禁用请求类型,如TRACE,HEAD,PUT,DELETE,OPTIONS等
qq_34192626的博客
10-12 3603
项目中常用的请求方式有GET和POST,但除了这之外还有TRACE,HEAD,PUT,DELETE,OPTIONS。由于安全目的,通常会禁用除GET和POST之外的请求方式。 经过测试,在tomcat的web.xml配置文件最后加上请求方式限制,配置如下: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="...
apache server_HTTP_apache_
10-01
标题"apache server_HTTP_apache_"暗示我们将深入探讨Apache HTTP Server在HTTP服务中的角色和其主要特性。 Apache HTTP Server的核心特性包括: 1. **模块化设计**:Apache HTTP Server采用模块化结构,可以根据...
Android程序报错程序包org.apache.http不存在问题的解决方法
09-02
在Android开发过程中,有时会遇到一个常见的错误,即“程序包org.apache.http不存在”。这个问题主要出现在Android 6.0(API级别23)及更高版本,因为从Android M开始,官方已经移除了对Apache HTTP客户端库的支持。...
为什么要禁止除GET和POST之外的HTTP方法
emprere的博客
06-08 919
相关阅读:你的经历分配决定你人生的层次京东应用架构设计与治理互联网技术(java框架、分布式、集群)干货视频大全,不看后悔!(免费下载)最近老是听朋友说,被上级单位通报H...
解读Tomcat(五)请求处理Part_3
annegu
06-24 168
/** *作者:annegu *日期:2009-06-24 */ 现在我们从connector.getContainer().getPipeline().getFirst().invoke(request, response)开始进入容器... 前面说到容器的时候,anne一直都只有说三个容器,engine, host, context。其实在context之下,还有一个容器,...
HTTP协议10-实体首部字段
梦忆安凉的博客
03-10 674
实体首部字段 实体首部字段是包含咋请求报文和响应报文中实体部分的首部,用于补充内容的更新时间等于实体相关的信息。 1)Allow Allow:GET,HEAD 用于通知客户端能够支持访问指定资源的请求方法。 当服务器接收到不支持的HTTP方法时,会以状态码405响应返回。同时,还会把能支持的HTTP方法写入首部字段Allow后返回。 2)Content-Encoding ...
Apache2-XXE漏洞渗透
一纸荒芜的博客
07-04 4384
Apache2 Ubuntu Default Page XXE漏洞渗透
Apache HTTP Server 2.4.49 路径穿越漏洞(CVE-2021-41773)
weixin_47311099的博客
12-07 1969
Apache HTTP Server 2.4.49 路径穿越漏洞复现(CVE-2021-41773) Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.49版本中,引入了一个路径穿越漏洞,满足下面两个条件的Apache服务器将会受到影响: 版本等于2.4.49 穿越的目录允许被访问,比如配置了<Directory />Require all granted</Directory>。(默认情况下是不允许的) 攻击者利用这个漏洞,可以
Apache HTTP Server 2.4.50 路径穿越漏洞(CVE-2021-42013)
weixin_47311099的博客
12-07 2268
Apache HTTP Server 2.4.50 路径穿越漏洞(CVE-2021-42013) Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复,但这个修复是不完整的,CVE-2021-42013是对补丁的绕过。 攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。 这个漏洞可以影响Apache HTTP Server 2.4.49
Apache两个解析漏洞复现及防御方法
阿道夫的博客
01-28 3313
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
CVE-2021-42013 Apache HTTP Server 路径穿越漏洞——漏洞复现
qq_60905276的博客
06-07 4832
Apache 披露了一个在 Apache HTTP Server 2.4.49 上引入的漏洞,称为 CVE-2021-41773。
【漏洞通告】Apache Tomcat HTTP请求走私漏洞CVE-2022-42252
热门推荐
m0_58094767的博客
12-28 1万+
tomcat漏洞
Apache HTTP Server 2.4.49 路径穿越漏洞复现及利用
Tauil的博客
07-23 3125
ApacheHTTPServer是Apache基金会开源的一款流行的HTTP服务器。版本等于2.4.49穿越的目录允许被访问,比如配置了。(默认情况下是不允许的)攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。.....................
apache禁用不安全http法_Apache安全配置之禁止目录访问的配置方法
weixin_39619170的博客
01-14 1181
在PHP网站开发中,为了让网站目录文件和程序代码的安全考虑,我们必须对某些目录或者文件的访问权限进行控制,来提高网站的安全,那么我们怎样来实现这种功能呢?这时候可以配置Apache来禁止网站以目录的形式列出网站内容。在Apache中没有配置禁止目录访问时候,当你访问 http://localhost 时会列出相关的目录和文件列表,我们可以通过修改Apache配置文件httpd.conf来实现禁止...
CIS安全指南:Apache HTTP Server 2.4基准测试
它由网络安全与基准组织"CIS"(Center for Internet Security)提供,主要针对Apache Web服务器的2.4版本进行安全测评。文件包含了对Apache服务器的安全配置指南,旨在帮助管理员遵循最佳实践来增强服务器的安全性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值