漏洞修复: Web服务器限制只允许通过GET/POST请求

最新推荐文章于 2024-06-21 00:48:22 发布
最新推荐文章于 2024-06-21 00:48:22 发布
阅读量5.2k 收藏 5
点赞数
文章标签: java 运维 python
原文链接:https://my.oschina.net/u/616147/blog/1829321
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

等保处理过程中发现了很多“使用HTTP动词篡改的认证旁路”等的中级漏洞(具体扫描提示如下图) 使用HTTP动词篡改的认证旁路

点击“将您的服务器配置为仅允许所需HTTP方法”跳转到解决方法处理区域,如下图 将您的服务器配置为仅允许所需HTTP方法

下面就具体列出 Nginx 和 Apache 的 解决方案

Nginx 解决方案

在 nginx.conf 配置文件 的 网站配置区域中添加如下代码片段

if ($request_method !~ ^(GET|POST)$ ) {
    return 403;
}
Apache 解决方案

在站点配置文件 .htaccess 中添加如下代码片段

<Location />
    <LimitExcept GET POST>
        Order Allow,Deny
        Deny from all
    </LimitExcept>
</Location>

至此,改漏洞均已修复

转载于:https://my.oschina.net/u/616147/blog/1829321

weixin_33794672
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTP Status 405 - JSPs only permit GET POST or HEAD@TOC
没有伞的孩子只能快跑,如若不跑,只有一个结果:超过你的人回头鄙视你
11-08 230
今天学springmvc遇到了这个问题,迟迟没有解决,我通常在Controller中会返回一个jsp页面,就像下面这样 @RequestMapping(value="testPOST/{id}",method = RequestMethod.GET) public String testGET(@PathVariable("id") Integer id) { System.out.prin...
前端,用经验来助力面试成功
m_osdasdaw的博客
05-12 339
写在前面 CSDN话题挑战赛第1期 活动详情地址:CSDN 参赛话题:前端面试宝典 话题描述:欢迎各位加入话题创作得小伙伴,如果我没有猜错得话,我觉得你是应该同我一样是一位前端人。如今前端在IT事业中的占比越来越重,已经成为不可缺少的部分,前端技术也是层出不穷,各种技术类、技术框架也蜂拥而出,前端面试的难度也随之增加,如果我们拥有一套前端面试宝典。如果你是应聘者:你就可以从容的solo面试官,如果你是面试官:你就可以将应聘者拷问到骨子里! 总之我们大家一起将自己的面试经验以及学
Nginx访问控制
最新发布
Lzcsfg的博客
06-21 1003
auth_basic:启用或禁用基本身份验证,接受一个字符串参数作为提示信息或者off。:指定包含用户名和密码的文件。配置上下文:这两个指令可以在httpserverlocation和块中使用。通过以上配置示例,可以在不同的级别和上下文中灵活地启用基本身份验证,保护 Nginx 服务器上的资源。
计算机网络部分(面试常问)
weixin_42563968的博客
08-29 421
GET和POST的区别 在客户端,GET方式通过URL提交数据,数据在URL中可见;POST数据放置的HTML HEADER 内提交(数据报form表单中) GET方式提交数据有限制最大1024字节,而POST没有限制 GET参数URL上可见不安全,POST参数不可见所以安全;如果客户输入的是非敏感数据使用get,若输入数据是敏感数据使用post 安全的 幂等的:安全的就是该操作用于获取信息而不...
java允许get、post访问
zyc050707的博客
07-15 2496
建议在不影响业务的前提下,禁用PUT、DELETE、HEAD、OPTIONS、TRACE等方法。 1、apache: 在httpd.conf中增加,只允许GET、POST方法 <Location "/"> AllowMethods GET POST </Location> 重启apache systemctl restart httpd.service 2、tomcat: 在web.xml中设置一些参数: <security-constraint> <...
Web服务器的配置以及使用(Web、Servlet、HTTP、Request)
The_Pole_Star的博客
11-16 359
Web服务器的配置以及使用 *Web 1.Web的相关概念 2.Web服务器软件的概述 3.Tomcat软件的配置 4.Tomcat软件启动问题的分析 5.Tomcat软件的关闭 6.Tomcat部署项目的方式 7.Tomcat的项目目录结构 8.Tomcat与IDE的相关配置 *Servlet 1.Servlet的概述 图解: 2.Servlet的快速入门 3.Servle...
Web应用安全:Get、POST参数越权.pptx
06-18
- GET请求的参数通过URL传递,而POST请求的数据位于请求体中。 - GET请求的数据可被缓存,POST请求则不会。 - GET请求的参数长度有限,POST请求没有这种限制。 - GET不支持二进制数据,POST可以传输任意类型的...
WEB开发安全漏洞修复方案 (2).pdf
07-14
- 关闭不必要的HTTP方法,只允许安全的GET和POST请求。 - 对敏感信息进行脱敏处理,避免在HTML注释或日志中泄露。 - 修改服务器配置,隐藏内部IP和禁止目录列出。 - 保持服务器软件和所有应用的最新状态,及时安装...
express中间件当做前端服务器的安全漏洞处理
02-27
为避免不必要的风险,应只允许必要的方法,例如使用`app.all('/path', allowMethods(['GET', 'POST']));` 4. 身份验证和授权 确保对敏感路由进行身份验证,使用如passport或jsonwebtoken这样的库。这些库可以帮助...
用于检测HTTP请求头缺失和CORS跨域漏洞的工具
07-02
- **Access-Control-Allow-Headers**:确保只允许必要的自定义请求头。 - **Access-Control-Allow-Credentials**:如果启用,应谨慎处理,因为它允许发送cookie和其他认证信息。 - **Access-Control-Max-Age**:...
配置与管理WEB服务器.pptx
03-07
这包括定期更新服务器软件以修复安全漏洞,设置访问控制列表(ACLs)限制特定IP的访问,监控服务器日志以检测异常活动,以及使用备份策略来防止数据丢失。此外,还需要对服务器进行性能调优,确保在高负载下也能正常...
WEB服务器配置与HTTP分析
houyansen的博客
07-10 1563
WEB服务器配置与HTTP分析实验目的实验条件实验内容与完成情况实验分析及总结 之所以写这篇文章,主要是为了应对计算机网络实验进行书写的,希望能够为后来的小伙伴避坑带来一些问题的解决。 实验目的 (1)理解 HTTP 基本工作过程。 (2)了解 HTTP 报文结构。 (3)理解访问 Web 资源的工作过程。 实验条件 安装有华为模拟软件 eNSP、Wireshark 的计算机。 实验内容与完成情况 WEB服务器配置与HTTP分析 某网络拓扑如图所示。1 台 S5700 交换机分别连接了 1 台 PC、1 台
nginx 简单代理服务器设置 只支持http
u013062667的专栏
05-21 1462
1.config 配置文件 http{ resolver dnsip地址; server{ listen 6666; location / { proxy_pass $scheme://$http_host$request_uri; } } } 2.测试代理服务(Google) 1) 地址栏输入chrome://settings/ 回车进...
Web服务器配置svgz文件需要的http头,让浏览器可以打开svgz文件
无心的专栏
11-03 7975
本文介绍了让浏览器能正常显示svgz文件应该怎样进行配置,并给出了Apache httpd服务器上的几种配置方式的示例,以及PHP程序动态输出svgz的例子。
springboot配置http、https访问
YogurtP的博客
09-05 438
1、首先准备https.p12文件 2、打开cmd,并输入 keytool -genkey -alias tomcathttps -keyalg RSA -keysize 2048 -keystore C:\Users\TXJS\Desktop\temp\sslhttps.p12 -validity 365 注意自行修改.p12文件的存放路径 3、 将证书复制到项目的 resources 目录下 4、在application.properties中添加如下配置: #证书的路径. server.ssl.
Apache httpd 2.4 访问控制
乐沙弥的世界
11-13 6241
Apache访问控制可以由几个不同的模块完成。其中最重要的是mod_authz_core和mod_authz_host。Apache使用Require指令进行授权来确保用户被允许或拒绝访问资源。其中mod_authz_host模块可以使用ip,host,forward-dns和local扩展授权类型。其他授权类型也可以使用,但可能需要加载额外的授权模块。这些授权提供程序会影响哪些主机可以访问服务器
apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改的认证旁路漏洞
热门推荐
隐0士的博客
07-29 1万+
第一种办法:在/opt/IBM/HTTPServer/conf 下的httpd.conf也就是apache的配置文件.加上如下代码       Order Allow,Deny    Deny from all      LimitExcept 后面写的是允许经过的http方法,我这边是was8.5默认的put和delete、trace方法是禁止的,head方法
WEB简介:HTTP方法
m0_56917645的博客
10-18 325
Web由通过有线和无线网络连接的数十亿个客户端和服务器组成。web客户端向web服务器发出请求web服务器接收请求,找到资源并将响应返回给客户端。当服务器响应请求时,它通常会向客户端发送某种类型的内容。客户端使用web浏览器向服务器发送请求服务器通常用一组用HTML(超文本标记语言)编写的指令向浏览器发送响应。所有的浏览器都知道如何向客户端显示HTML页面。
常见的API接口漏洞总结
summer_fish的专栏
05-01 3620
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web 应用程序、API 及其弱点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值