启用了不安全的 HTTP 方法

最新推荐文章于 2022-12-20 19:25:45 发布
最新推荐文章于 2022-12-20 19:25:45 发布
阅读量72 收藏
点赞数
原文链接:http://www.cnblogs.com/jimor/p/3418089.html
版权

IBM appscan安全漏洞扫描--启用了不安全的 HTTP 方法

appscan修订建议:

如果服务器不需要支持 WebDAV,请务必禁用它,或禁止不必要的 HTTP 方法(动词)。

<security-constraint>
        <web-resource-collection>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint></auth-constraint>
    </security-constraint>

 

转载于:https://www.cnblogs.com/jimor/p/3418089.html

weixin_33762321
关注
解决安全扫描Insecure HTTP Methods Enabled的问题
weixin_33693070的博客
11-19 976
今天把Spring MVC的Java网站部署到CentOS上,并且设置了https/ssl 8443端口,然后用IBM Rational AppScan进行安全扫描,发现一个漏洞:Insecure HTTP Methods Enabled. 原因是Tomcat支持的http命令中包含DELETE、OPTIONS、PUT、HEAD和TRACE这五条命令。    漏洞描述和建议: Ins...
安全问题】启用了不安全HTTP方法——深度分析及解决方案
Hello_MiaoJiang的博客
09-28 7162
前言 启用了不安全HTTP方法是常见的安全报错。本文将对八种主要的HTTP方法进行原理及安全性分析,并提供简单的解决方案。 1、HTTP方法安全性分析 1.1 HTTP方法由来 HTTP协议提供了集中请求方式,每种请求方式都有不同的作用,HTTP请求可以使用多种请求方法HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 1.2 HTTP方法详述 GET方法:G
关于web安全问题解决方案
qq_39930369的博客
02-12 971
启用了不安全HTTP方法(禁用put、delete调用方式,尽量只使用post方式   内网可以用get) 危害:这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。 解决方法:如果服务器不需要支持 WebDAV,请务必禁用它。 解决方法所有控制层方法上加入限制,只允许g...
禁用 WebDAV,或者禁止不需要的 HTTP 方法
月光秦城
08-22 4334
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下
渗透测试常见漏洞描述及修复建议
Kak_Sky的博客
07-03 5331
常见漏洞的漏洞描述与修复建议/安全建议
Tomcat配置错误:启用安全HTTP方法漏洞分析
"启用了不安全HTTP方法漏洞通常出现在Web应用程序的配置中,特别是Tomcat服务器的`web.xml`文件。此问题涉及到允许不受限制地使用潜在危险的HTTP请求方法,如PUT、DELETE、HEAD、OPTIONS和TRACE,这可能为攻击者...
启用了不安全http方法漏洞
01-09
<http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> <auth-method>BASIC ...
禁用WebDAV-Tomcat(检测到目标URL启用了不安全HTTP方法
zjxeastchi的博客
09-19 3970
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
启用安全HTTP方法解决方案
水调码头
07-26 1万+
近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。1.启用了不安全HTTP方法问题是这样描述的: 检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个不需要的选项:DELTE,SEARCE,COPY,MOVE,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK,PUT。
常见漏洞修复方案
Guoke324的博客
09-09 1万+
常见漏洞修复方案,漏洞修复
渗透测试(Penetration Testing)
weixin_30500105的博客
09-11 1207
渗透测试(Penetration Testing) 目录 Author : ZwelL Last Updated : 2007.12.16 零、前言 一、简介 二、制定实施方案 三、具体操作过程 四、生成报告 五、测试过程中的风险及规避 参考资料 FAQ集 零、前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗...
web安全—禁用 WebDAV,或者禁止不需要的 HTTP 方法
热门推荐
jiawenbo89的专栏
08-03 1万+
WebDAV
启用了不安全HTTP方法
u013673367的专栏
08-20 2061
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
AppScan深入浅出】修复漏洞:启用安全HTTP方法 (中)
chengwa9834的博客
06-09 343
最近一直刷新AppScan的下限,对于Appscan报出的中危漏洞“启用安全HTTP方法”。分析了其扫描机制,以及处理方法和绕开方法。如果不耐烦看分析过程,请直接跳到文章最后看处理方法。 0. 漏洞背景 “启用了不安全HTTP 方法”属于“中”危漏洞...
Web漏洞扫描-Appscan安装配置及扫描
最新发布
m0_55854679的博客
12-20 3585
AppScan 是一种 Web 应用程序安全扫描工具,可帮助组织识别和修复其 Web 应用程序中的漏洞。它结合使用自动和手动测试技术来识别漏洞,例如跨站点脚本 (XSS)、SQL 注入和不安全的文件上传等。AppScan 可用于在开发生命周期的不同阶段扫描 Web 应用程序,包括设计、开发和测试阶段。它还可用于对生产 Web 应用程序执行持续的漏洞评估。该工具提供详细的报告,突出显示发现的漏洞,并提供如何修复这些漏洞的建议。
java禁止不需要的HTTP 方 法
charsli的专栏
10-30 762
项目安全扫描,报告: 启用了不安全HTTP 方法 安全风险: 可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的。 修订建议: 如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法WebDAV (Web-based Distribut...
HTTP的危险方法(不安全HTTP方法
weixin_45116657的博客
11-01 1万+
友情链接: Web安全|为什么要禁止除GET和POST之外的HTTP方法? 不安全HTTP方法 我们常见的HTTP请求方法是GET、POST和HEAD。但是,其实除了这两个之外,HTTP还有一些其他的请求方法WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值