解决安全扫描Insecure HTTP Methods Enabled的问题

最新推荐文章于 2023-12-15 17:10:38 发布
最新推荐文章于 2023-12-15 17:10:38 发布
阅读量953 收藏 1
点赞数
文章标签: 测试 java web.xml
在将Spring MVC应用部署到CentOS并配置https/ssl后,使用IBM Rational AppScan扫描发现存在Insecure HTTP Methods漏洞。解决方法是在web.xml中添加安全约束,阻止不安全的HTTP方法。此外,文章提及了对Security-constraint的理解和相关安全防御措施。
摘要由CSDN通过智能技术生成

今天把Spring MVC的Java网站部署到CentOS上,并且设置了https/ssl 8443端口,然后用IBM Rational AppScan进行安全扫描,发现一个漏洞:Insecure HTTP Methods Enabled. 原因是Tomcat支持的http命令中包含DELETE、OPTIONS、PUT、HEAD和TRACE这五条命令。

 

 漏洞描述和建议:

Insecure HTTP Methods Enabled

Severity:  Medium
Type: Infrastructure test
WASC Threat Classification: Client-side Attacks: Content Spoofing
CVE Reference(s): N/A
Security Risk: It is possible to upload, modify or delete web pages, scripts and files on the web server

Fix Recommendation
If you do not need WebDAV enabled on your server, make sure that you either disable it, or disallow HTTP methods (verbs) that are unneeded.

 

最低0.47元/天 解锁文章
weixin_33693070
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
启用不安全HTTP方法解决方案
水调码头
07-26 1万+
近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。1.启用了不安全HTTP方法问题是这样描述的: 检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,MOVE,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK,PUT。
解压版MYSQL中文乱码问题解决方案
01-19
指定数据库配置文件bin\mysqld –defaults-file=my.ini –initialize-insecure 指定配置文件my.ini(如果忽略这一步骤的话,配置my.ini将不会生效,有点小坑) 安装数据库:bin/mysqld –install 启动数据库服务:...
检测http方法是否开启put方法
weixin_33709609的博客
03-13 2076
安装如下httpRequester插件 检测方法如下: 进入插件  
小记一次网站应用漏洞扫描--启动了不安全HTTP方法(Insecure HTTP Method)及其解决方案
小菜鸟的HelloWorld
01-05 2745
漏洞编号:c*********031834878bbfe891144574 漏洞等级:中危 漏洞状态:未修复 发现时间 : 2018/01/04 21:00:43 GMT+08:00 漏洞类型:不安全方法 所属域名:*******.cn URL:http://*********** 漏洞简介 攻击者可以使用OPTIONS和Trace方法来枚举服务
解决安全测试输掉 提示 OPTIONS method is enabled
coding
10-08 7352
Acunetix Web Vulnerability Scanner 8扫描出了很多系统漏洞,诸如SQL注入、脚本注入、OPTIONS method is enabled 、Session Cookie without HttpOnly flag set、之类的漏洞。 一开始找了很多办法将前面几个漏洞都处理了。最后剩下OPTIONS method is enabled这个老大难。万般
启用 HTTP TRACE 方法
热门推荐
走马观花
04-11 1万+
http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/zh_CN/HTML/am51_webseal_guide32.htm RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(loopback)。请求的接收方是源服务器或第一个代理或接收请求中零(0)Max-Forwards
详解HTTP Upgrade-Insecure-Requests
12-22
浏览器Upgrade-Insecure-Requests详解 搭建HTTPS服务器时经常会遇到该请求头
信息安全_数据安全_The_Insecure_Software_Developmen.pdf
08-22
标题和描述中提到的《信息安全_数据安全_The_Insecure_Software_Developmen.pdf》主要关注的是不安全的软件开发过程及其带来的安全威胁。在这个领域,重点在于如何在现有的开发流程中发现、修复和管理缺陷,以提升...
信息安全_数据安全_Return_of_the_Insecure_Brazilian.pdf
08-22
2012年的公共安全测试揭示了一系列严重问题,包括投票混合机制的漏洞、密钥的大规模共享和不安全存储、软件通过签名自我检查、缺乏选票保密性和软件结果的完整性、不安全的开发过程、以及威胁模型的不足。...
django-insecure:不安全的Django应用程序示例
05-16
具有许多内置安全漏洞的简单Django应用程序 带有示例和解释的相应文章: 其中一些被 像这样运行它: bandit -r ./insecure/security 要启动服务器: python manage.py runserver 包含威胁示例: SQL注入 命令...
网站漏洞处理+解决方法大全
04-12
网站漏洞处理 经过一系列分析,测试得出来的结果,里面有对跨站点请求伪造、sql注入等问题解决方法。。。
Spring MVC过滤器-HiddenHttpMethodFilter
孤云博客
08-10 1533
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 from:https://blog.csdn.net/geloin/article/details/7444321 浏览器form表单只支持GET与POST请求,而DELETE、PUT等method并不支持,s...
flutter 报错 DioError [DioErrorType.DEFAULT]: Bad state: Insecure HTTP is not allowed by platform
新技术革命
05-08 949
lutter 报错 DioError [DioErrorType.DEFAULT]: Bad state: Insecure HTTP is not allowed by platform 错误解释 平台不支持不安全HTTP 协议,即不允许访问 HTTP 域名的地址。 产生原因 IOS 和 Android 9.0 对网络请求做了一些限制,不能直接访问 Http 域名的地址。 解决方案 通过配置让我们的项目允许不加密的请求 Android 配置 1. 为android 的清单文件 Andr..
AppScan扫描启用了不安全的“OPTIONS”HTTP 方法
liudoyang的博客
12-26 3425
**服务器禁止不需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用了不安全的“OPTIONS”HTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat的解决办法。现在记录一下websphere解决问题思路,给使用we...
配置Insecure Docker Registry支持http请求 (更改默认的https请求)
scruffybear的专栏
10-17 2152
本文记录了如何配置`Insecure http docker registry`,也就是使用`http`请求 (更改默认的https请求)`Docker Registry`仓库。
Flutter 报错: Insecure HTTP is not allowed by platform 的解决办法
荷鹤赫
03-25 1176
Android端 打开android/app/src/main/AndroidManifest.xml这个文件 然后找到: <application android:name="io.flutter.app.FlutterApplication" android:label="flutter_demo" android:icon="@mipmap/ic_launcher"> 这几行代码, 改成 <uses-permissio
启用了不安全HTTP 方法
weixin_33762321的博客
11-11 69
IBM appscan安全漏洞扫描--启用了不安全HTTP 方法 appscan修订建议: 如果服务器不需要支持 WebDAV,请务必禁用它,或禁止不必要的 HTTP 方法(动词)。 <security-constraint> <web-resource-collection> <url-pattern>...
【k8s】--insecure-registry详解 ( 访问仓库、https、http)
最新发布
m0_45406092的博客
12-15 7524
insecure-registry是Docker中用来临时绕过TLS认证证书认证的参数,可以在开发、测试过程中节省时间和精力。但是在生产环境中,为了保证系统的安全性,我们需要关闭这个参数。如果确实有必要经常使用这个参数,我们可以选择使用内部CA证书来实现相对的安全性。在使用–insecure-registry时,我们需要时刻注意安全风险,并采取相应的防范措施。
详解http upgrade-insecure-requests
08-30
http upgrade-insecure-requests是一个HTTP头部字段,用于指定浏览器是否在不安全HTTP请求中自动升级到安全HTTPS协议。当该字段设置为1时,浏览器将尝试将HTTP请求升级为HTTPS请求,以提高安全性。 在默认情况下,当浏览器加载一个包含HTTP连接的网页时,网页中的资源请求(例如图片、脚本等)也会默认使用HTTP连接,即使网页本身使用HTTPS连接。这样会存在安全风险,因为HTTP连接的传输是不加密的,可能被黑客窃听、篡改等。 通过使用http upgrade-insecure-requests头部字段,网页可以向浏览器发出指令,在加载时自动将HTTP资源请求升级为HTTPS。这样可以确保网页的所有资源在传输过程中都使用了加密的HTTPS连接,提高用户的安全性。 当浏览器收到网页响应时,会检查其中的资源链接。如果检测到某些资源是使用HTTP连接的,而网页中存在http upgrade-insecure-requests字段并被设置为1,浏览器就会自动将这些资源请求转为HTTPS。整个过程对于用户来说是透明的,用户不需要做任何操作。 需要注意的是,使用http upgrade-insecure-requests头部字段仅仅是告诉浏览器去升级HTTP资源为HTTPS请求,但并不能完全确保资源请求都成功升级为HTTPS。如果某些资源服务器不支持HTTPS,或者HTTPS连接存在错误,那么这些资源仍然会以不安全HTTP方式加载。 总之,http upgrade-insecure-requests头部字段可以提高网页和资源的安全性,但仍需要保证资源服务器的支持和HTTPS连接的正确配置。同时,网站开发人员和管理员也应该注意安全性措施,确保使用HTTPS连接和加密传输用户的敏感数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值