关于禁用不必要的 HTTP 方法以及隐藏403错误暴露的版本信息

最新推荐文章于 2023-12-28 10:32:10 发布
最新推荐文章于 2023-12-28 10:32:10 发布
阅读量1.3k 收藏
点赞数
文章标签: java web.xml python
原文链接:https://my.oschina.net/monkeybiao/blog/1545527
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

近几日安全整改,提示出一个问题”启用了不安全的http方法”,就这么一个问题我可算是折腾了整整一天。

如下是暴露出来的问题

首先和大家介绍一下启用不安全http方法存在风险以及介绍

安全风险:

      可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。

可能原因:

      Web 服务器或应用程序服务器是以不安全的方式配置的。

修订建议:

      禁止不必要的HTTP 方法。

方法简介:

除标准的GET和POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法:

  PUT   向指定的目录上载文件
  DELETE  删除指定的资源
  COPY  将指定的资源复制到Destination消息头指定的位置
  MOVE  将指定的资源移动到Destination消息头指定的位置
  SEARCH  在一个目录路径中搜索资源
  PROPFIND  获取与指定资源有关的信息,如作者、大小与内容类型
  TRACE  在响应中返回服务器收到的原始请求

其中几个方法属于HTTP协议的WebDAV(Web-based Distributed Authoring and Versioning)扩展。

渗透测试步骤:

使用OPTIONS方法列出服务器使用的HTTP方法。注意,不同目录中激活的方法可能各不相同。

许多时候,被告知一些方法有效,但实际上它们并不能使用。有时,即使OPTIONS请求返回的响应中没有列出某个方法,但该方法仍然可用。

针对以上风险,网上给的基本解决方式是在tomcat下的conf/web.xml增加一下内容。需要注意一定是删除不必要的,如get,put,delete在使用一定不要写进去,否则程序将无法存储。

<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>

但是这样的方法对我程序并没有起到效果,不知道什么原因。

以下是我的处理方法

同样是在在tomcat下的conf/web.xml增加内容如下

<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>OPTIONS</http-method>
<http-method>HEAD</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>

按照如上增加,确实禁止了以上方法,出现了403错误,暴露出另一个问题,泄露了tomcat版本信息

遇到这个问题不要慌,隐藏即可,此方法可以同理应用到其他泄露版本的情况

修改apache-tomcat-7.0.63/lib/catalina.jar文件中的org\apache\catalina\util\ServerInfo.properties版本,该为红色部分即可

server.info=Apache Tomcat
server.number=0.0.0.0
server.built=Jun 30 2015 08:08:33 UTC

成功如下,这样既禁用了不必要的http方法,同时也解决了403错误泄露版本号问题。

转载于:https://my.oschina.net/monkeybiao/blog/1545527

weixin_34291004
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
01-10
WebDAV WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。 现在主流的WEB服务器
web-攻击web服务器】(13.1)Web服务器配置缺陷
09-02 637
Web服务器配置缺陷】
如何禁止不必要HTTP 方法,如DELETE,PUT,OPTIONS等协议访问应用程序
BabyFace゛‐尐蔡。的博客
02-01 1万+
一、修改应用程序的server.xml文件的协议为HTTPS,       disableUploadTimeout="true" enableLookups="false" maxThreads="25"      keystoreFile="d:\tomcat.keystore" keystorePass="111111"     protocol="org.apache.coyote
How to disable certain HTTP methods (PUT, DELETE, TRACE and OPTIONS) in JBOSS7 .
weixin_34268753的博客
10-13 272
Resolution Option 1 -Using RewriteValve (can apply globally) You can use RewriteValve to disable the http methods. Take a look atdocumentation http://docs.jboss.org/jbossweb/2.1.x/rewrite.html.You wil...
启用了不安全HTTP方法
u013673367的专栏
08-20 2010
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器应用程序服务器是以不安全方式配置的。 修
nginx 隐藏版本号与WEB服务器信息的解决方法
09-30
这是因为,公开的版本信息可能会暴露服务器的弱点,让潜在的攻击者了解其可能存在的漏洞,从而有针对性地进行攻击。本篇文章将详细介绍如何在Nginx中隐藏版本号并自定义Web服务器信息,以增强系统的安全性。 首先,...
隐藏Nginx或Apache以及PHP的版本号的方法
12-18
隐藏Apache的版本信息,需要编辑`httpd.conf`配置文件。添加或修改以下两行代码: ```apacheconf ServerTokens Prod ServerSignature Off ``` `ServerTokens Prod`将服务器标识设置为产品模式,只显示"Apache",...
IIS7.0配置过程中出现HTTP 错误 403.14的解决方法
09-30
**IIS7.0配置过程中出现HTTP错误403.14详解及解决步骤** HTTP错误403.14是Internet Information Services (IIS) 7.0中常见的一个错误,它通常意味着服务器配置为禁止显示目录列表。当你尝试访问一个没有默认文档...
关于HTTP协议禁用不常用方法漏洞的解决方案.docx
08-07
关于HTTP协议禁用不常用方法漏洞的解决方案
Win2008 R2 WEB 服务器安全设置指南之禁用不必要的服务和关闭端口
09-30
主要介绍了Win2008 R2 WEB 服务器安全设置指南之禁用不必要的服务和关闭端口,需要的朋友可以参考下
如何消除网站安全的七大风险
guojun828的专栏
05-19 542
文/ 晁晓娟 以工作中某项目的安全改善过程为例,分享了常用网站安全性的典型问题和解决对策,希望对网站开发者有借鉴意义。  有过网站开发经验的朋友都知道网站安全是构建网站时必须要考虑的一个因素,网站安全的重点在于服务器安全配置管理以及程序脚本的完善性。值得注意的是,如果服务器的账号和权限由于管理不善而泄露了,即使技术上网站系统再安全,也不可避免会受到攻击。 在笔者曾经参与过
为什么要禁止除GET和POST之外的HTTP方法
08-19 1242
根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。HTTP1.0定义了三种请求方法: GET、POST、HEADHTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNECT。
如何禁用不需要的HTTP方法
weixin_30736301的博客
06-06 459
禁用不需要的http方法,一般禁用delete,put,默认情况tomcat禁止了delete,put,访问返回403-forbiden,此处在web.xml的<web-app>中添加如下禁用配置,要让web.xml配置生效需要重启tomcat<security-constraint><web-resource-collection><url-p...
通过nginx配置防御web漏洞
最新发布
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-28 1781
# 相关安全漏洞响应头 # 检测到目标 X-Content-Type-Options响应头缺失 这个暂时不开启,不然部分banner无法使用 add_header X-Content-Type-Options nosniff; # 检测到目标 X-XSS-Protection响应头缺失 add_header X-XSS-Protection "1; mode=block"; # 检测到目标 Content-Security-Policy响应头缺失 add_head
WEB漏洞-关闭不安全HTTP方法
踮脚敲代码
12-19 6391
一.测试过程 通过手工测试,站点启动了不安全HTTP方法漏洞,详细测试如下: OPTIONS /main/login HTTP/1.1 Host: xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language
tomcat禁用PUT,DELETE等一些不必要HTTP方法
热门推荐
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONS等HTTP请求方法,降低可攻击性。 解决办法 在tomcat的web.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
禁用 WebDAV,或者禁止不需要的 HTTP 方法
月光秦城
08-22 4114
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
java专家之路(四)——Web安全之——Tomcat暴露服务器版本信息
softwareCraftsman
07-29 3377
简介: 一些黑客会通过该软件暴露出来的信息针对性的入侵,为了服务器安全这些信息一定要及时关闭。Tomcat在404,405,403等错误的时候,会有默认的错误信息输出到页面上。这个时候,黑客们,根据服务器版本信息,可以了解到该版本服务器的已知漏洞,发起攻击,造成javaWeb应用的信息安全问题。 解决办法: 方式1. 去掉默认的版本和引擎信息 参考:http://blog.5...
如何禁用不必要http方法?如何禁用webdav?
06-01
禁用不必要HTTP方法WebDAV可以提高Web服务器安全性。可以通过修改Tomcat的配置文件来实现这些功能。以下是具体步骤: 1. 禁用不必要HTTP方法 在Tomcat的配置文件中,可以使用标签来限制允许的HTTP方法。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值