服务运行环境关于http的客户和服务器之间通信,webdav访问的安全加固和禁用https请求方法禁用还有header信息

最新推荐文章于 2023-12-04 13:45:20 发布
最新推荐文章于 2023-12-04 13:45:20 发布
阅读量810 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43513408/article/details/104839374
版权

服务器访问不了,可以先排除,网络,防火墙的问题,然后在考虑其他
处理问题要有思路,,是否设置的问题等
有一定学会通盘考虑,那个环节会出问题,然后去解决,这个要你对服务的理解比较深,整个一套服务都理解了,然后考虑问题才能快速高效的解决问题,多学习多接触

还有服务环境问题,很多依赖的库问题,版本是否对应,依赖是否对应,像elk 的环境,,要明白这个代码能否在这个环境下运行,有哪些依赖

https://blog.csdn.net/lyq5655779/article/details/7515284
详细讲解http的通信

    #处理Web安全之点击劫持(ClickJacking)
    add_header X-Frame-Options SAMEORIGIN;


    #begin 允许指定域名跨域访问,根据自己情况修改
    set $cors_origin "";
    if ($http_origin ~* "^https://woting.17wo.cn$") {
      set $cors_origin $http_origin;
    }
    if ($http_origin ~* "^http://woting.17wo.cn$") {
      set $cors_origin $http_origin;
      。
      还有关于禁用webDAV的功能修改tomcat 容器
      **https://blog.csdn.net/u012373281/article/details/100013063**   ,
      
      可以参考一下。如何禁止

如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢?

第一种,在项目中web.xml添加

<


/*
PUT
DELETE
OPTIONS
TRACE



————————————————
版权声明:本文为CSDN博主「金麟十三少」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/u012373281/article/details/100013063
下面这个链接也比较详细可以看看:
https://blog.csdn.net/zjxeastchi/article/details/101023235?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task

这个链接比较全面:https://www.conum.cn/uncategorized/317.html
webdav 等漏洞都是禁用不安全的http请求方法:
http1 ,有三种请求方法, http1.1 有八种方法OPTIONS、PUT、DELETE、TRACE 、CONNECT 。get post 等
如何自检: curl -X OPTIONS http://xxxx.com/index.php/ -I
在nginx 上禁用 :
在server 配置
if ($request_method !~* GET|POST|HEAD) {
return 403;
}
tomcat 上就不多说了

weixin_43513408
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat中间件禁用webdav方法
01-02
tomcat中间件禁用webdav方法 通过本方法,可以完成所有运行于该tomcat之上的java项目均拦截webdav方法
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下
IIS6、IIS7.5中禁用WebDAV方法
09-30
主要介绍了IIS6、IIS7.5中禁用WebDAV方法,需要的朋友可以参考下
360提示服务器开启了WebDAV的关闭方法
01-10
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。 描述: 目标开启了WebDAVWebDAV(Web-based Distributed Authoring and Versioning)是基于HTTP 1.1的扩展协议,它在HTTP定义的标准方法的基础上增
关于web安全问题解决方案
qq_39930369的博客
02-12 838
启用了不安全的HTTP方法禁用put、delete调用方式,尽量只使用post方式   内网可以用get) 危害:这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。 解决方法:如果服务器不需要支持 WebDAV,请务必禁用它。 解决方法所有控制层方法上加入限制,只允许g...
nginx配置文件优化
liao__ran的博客
07-16 541
user nginx; worker_processes 8; error_log /var/log/nginxerror.log; pid /run/nginx.pid; # Load dynamic modules. See /usr/share/doc/nginx/README.dynamic. #include /usr/share/nginx/modules/*.conf; #优化Nginx并发量 #worker_processes 8; #与CPU核心数量一致 events { ...
掌控安全 -- header注入
最新发布
qq_51802152的博客
12-04 2208
HEADER注入
禁用 WebDAV,或者禁止不需要的 HTTP 方法
月光秦城
08-22 3899
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
httphttps协议有什么区别
ZhangJunQi的博客
07-21 3762
1、https协议需要到CA (Certificate Authority,证书颁发机构)申请证书,一般免费证书较少,因而需要一定费用。(原来网易官网是http,而网易邮箱是https。) 2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。 3、httphttps使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 4、http的连接很简单,是无状态的。Https协议是由SSL+Http协议构建的可进行加密传输、身份认证的网络协议,比http.
QT实现WebdavHTTPS通信
bupt073114的专栏
11-30 2814
闲来没事,再来一篇博文,讲讲我最近做的QT实现的Webdav通信HTTPS实现。 HTTP太不安全了,抓包随便就可以拿到报文,但是Webdav有不能通过QT自带的authenticationRequired进行用户名和密码的验证,只好自己拼接报文头, 本项目就是介绍如何用HTTPS进行Webdav通信。 authenticationRequired就是相当于我们访问一个ftp,ftp需要用户输入用户名和密码,authenticationRequired就是让用户输入 如果url是http的话,authent
http的PUT、DELETE不安全?
u014644574的博客
12-19 9033
本文主要记录我们的讨论过程及结论,具体测试代码就不贴了。 一、背景 最近研发让我开一下服务器的put、delete方法,被我以不安全的http方法给拒绝了。 研发表示我很无理,put怎么就是不安全的了,在他看来,put和post只是语义上的不同。如果put是不安全的方法,那么post也是不安全的方法了。 网上的说法也是分为两派,一派说这些都是不安全的方法,要关掉;另一派说它们只是语义上的区别,不存在安不安全。 二、一探究竟 经过我和研发各自编写测试用例来论证后,我明白了为什么会有这样的分歧:我是
关闭nginx的webdav
weixin_33775582的博客
10-29 1503
为什么80%的码农都做不了架构师?>>> ...
IIS WebDAV配置,https绑定及asp设置
weixin_45707491的博客
09-03 1481
图上已经绑定了默认的443 https端口,点添加后还要以继续绑定其它端口,或绑定ftp,这样WebDAV这个站点即是 http, 也是 https, 还可以是 ftp , 还可以附加相同功能但不同端口。添加https时会要求创建本站的(省略了)的证书,这个证书不是可官方联机验证的,所以浏览器会报警说有风险,进入高级同意继续即可。WebDAV可以让用户通过httphttps上下载自己的各种文档,默认情况下在WIN10上使用 https,虽说注册表项中可以修改,但考虑到文档安全,还是用https更合适。
网络存储文件共享之WebDAV
攻城狮·正
02-23 4万+
WebDAV 基于 HTTP 协议的通信协议,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。 常用的文件共享有三种:FTP、Samba、WebDAV,它们各有优缺点,了解后才能更好地根据自己的需求选择方案。 FTP属于古老的文件共享方式了,因为安全性,现代浏览器最新已默认不能打开FTP协议。SFTP在FTP基础上增加了加密,在Linux上安装Open
PUT/DELETE 为何成了 HTTP 协议中的不安全方法
weixin_46099455的博客
08-28 5853
由于 Nginx 在设计时,或许是为了减轻小白的上手难度,在开启 WebDAV 时没有强制要求用户必须配置访问认证,这导致了某些 SB 用户在公网上开启了 WebDAV 而没有进行认证配置,从而导致了安全问题。导致服务器上的数据泄露或获取服务器权限。总结: PUT/DELETE 在 HTTP 协议中是否安全主要跟代码逻辑相关,并非是使用了这种方法就造成访问不安全,由于代码是运行在容器中,如果容器配置不当,会导致一些安全风险,安全工程师并不理解代码背后的逻辑,从而将 PUT、DELETE 给一刀切了。...
政务外网后端接口PUT和DELETE不通
weixin_45552405的博客
12-13 7069
政务外网后端接口PUT和DELETE不通 错误信息 解决思路 1,首先排查政务内网环境下接口是否能通 2、查看nginx反向代理问题 3、查看接口是否调通后端,后端是否有相应信息 4、排查端口是否对外开放 5、关闭防火墙试一试 6、查看是否所有接口都不通,还是部分接口不通 7、查看什么请求的接口不通 8、最终定位到只有PUT和DELETE请求不通 9、问题定位到查看相应解决方法 解决方案: 1.前端必须改代码,这个无法绕过,所有的PUT/DELETE请求,都要求改成POST; 所有的PUT请求,要携带He
WebDAV安全测试分析
na_tion的专栏
11-03 5567
本文描述IIS 6.0中WebDAV安全测试过程及注意事项,环境如下: IIS:win7 VM安装的win server 2003的IIS 6.0 使用工具:burp suit 一、判断是否开启WebDAV 1.1 IIS 6.0 中WebDAV的关闭与开启位置 1.2 WebDAV禁止与允许时,burp suit测试效果 -- PS:请求中,OPTI
web安全—禁用 WebDAV,或者禁止不需要的 HTTP 方法
jiawenbo89的专栏
08-03 1万+
WebDAV
在WIN7、WIN10操作系统用WebDAV映射网络驱动器需要的操作
热门推荐
chengfei112233的专栏
01-16 5万+
如果WebDAV不是https的,win7默认是添加不上的,需要修改注册表使得WIN7同时支持httphttps,默认只支持https,然后重启服务 某一服务器,配置好了WebDAV。用苹果电脑作客户端可以成功添加网络盘,而WIN7却不行。 后查资料,根据资料操作解决了这一问题。 资料原文如下:如果WebDAV不是https的,win7、WIN10默认是添加不上的,需要修改注册表: HKE
如何禁用不必要的http方法?如何禁用webdav
06-01
禁用不必要的HTTP方法WebDAV可以提高Web服务器的安全性。可以通过修改Tomcat的配置文件来实现这些功能。以下是具体步骤: 1. 禁用不必要的HTTP方法 在Tomcat的配置文件中,可以使用标签来限制允许的HTTP方法。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值