目标服务器开启了不安全的HTTP方法:OPTIONS方法

最新推荐文章于 2024-07-01 21:07:59 发布
最新推荐文章于 2024-07-01 21:07:59 发布
阅读量6.7k 收藏
点赞数
分类专栏: C# 文章标签: IIS漏洞配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wxd110119120/article/details/88328671
版权

产生原因:

未对OPTIONS进行禁用处理。

解决办法:

对IIS管理器中的 功能视图》授权规则 设置了只允许GET, HEAD, POST 特定谓词。

       

码农10011111
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
目标URL启用了不安全HTTP方法
教官的博客
10-30 776
修复目标URL启用了不安全HTTP方法
web服务器启用了不安全HTTP方法
bobozai86的博客
09-14 7884
1、什么是不安全HTTP方法 开发人员、运维人员一般可能用于调试服务器开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。 2、安全风险 可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...
漏洞修复:检测到目标服务器启用了OPTIONS方法
最新发布
yjfkeifk的博客
07-01 534
IIS+asp.net网站,使用绿盟和。
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
检测到目标服务器启用了options方法漏洞
热门推荐
wangsaisoon的博客
03-11 2万+
转自:[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全http方法 第一步:修改应用程序的web.xml文件的协议 <?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java....
检测到目标服务器启用了OPTIONS方法
努力明天会更好的博客
06-08 5653
添加个拦截器,即可解决 public class ConfigInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { // 解决安全漏洞:检测到目标服务器启用了OPTIONS方法 response.setHe
启用了不安全的“OPTIONSHTTP方法 - OPTIONS *
akaiyijian001的博客
05-04 1697
方法,该方法被认为是危险的,部分漏扫工具会认为其用了WebDAV。通过源码debug,tomcat会对。通过构造请求进行源码debug。请求时,响应报文请求头。进行特殊处理,该实现在。
Get-HttpSecHead:此cmdlet将从目标Web服务器获取HTTP标头,并测试各种与安全性相关的HTTP标头的存在,并显示cookie信息
05-13
Cookie是网站用来存储用户状态和会话信息的小型文本文件,但如果不安全,可能会被利用进行会话劫持或身份盗用。通过分析Cookie设置,我们可以确认是否启用了Secure标志(确保仅在HTTPS下传输)、HttpOnly标志(防止...
Web应用安全:apache权限配置文本.docx
06-18
Apache作为广泛应用的开源HTTP服务器,其配置文件(如httpd.conf)中的权限设置直接影响着服务器安全性和稳定性。 一、Apache权限配置的基本元素 1. `<Directory>`标签:用于设定特定目录的权限策略。例如,`...
test:临时文件主机解决Cors问题的方法
03-19
2. **预检请求(OPTIONS)**:对于复杂请求(如PUT、POST或DELETE),浏览器会先发送一个`OPTIONS`请求到目标服务器,询问是否允许该类型的操作。服务器需要回应相应的`Access-Control-Allow-Methods`和`Access-...
apache开启伪静态的方法分享
09-15
### Apache 开启伪静态的方法详解 #### 环境配置 - **操作系统**: Windows - **Apache 版本**: 2.2 #### 加载Rewrite模块 在Apache的配置过程中,启用伪静态功能首先需要确保Rewrite模块已经被正确加载。在`conf`...
工业互联网安全测试技术:系统测试.docx
06-24
**工业互联网安全测试技术:系统测试** 工业互联网安全测试是保障智能设备和系统免受恶意攻击的关键环节。在这个领域,系统测试尤其重要,因为它涉及到深入分析和验证整个系统的安全性,包括操作系统、网络通信以及...
启用了不安全http请求方法 OPTIONS
星语惜馨的博客
10-22 5810
tomcat配置: 在tomcat的web.xml中添加如下的代码后重启tomcat,注意添加后只对tomcat下的目录有效。参照所需禁用的http方法添加。 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
漏洞修复】检测到目标URL启用了不安全HTTP方法
LIARRR的博客
04-20 1280
检测到目标Web服务器配置成允许下列其中一个(或多个)HTTP 方法OPTIONS,DELETE, SEARCH,COPY,MOVE, PROPFIND, PROPPATCH, MKCOL ,LOCK ,UNLOCK。这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。
Web 应用程序报告: 启用了不安全的“OPTIONSHTTP 方法 建议:禁用 WebDAV,或者禁止不需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 4951
Web 应用程序报告 有一项叫做启用了不安全的“OPTIONSHTTP 方法 然后他会建议 禁用WebDAV,或者禁止不需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法漏洞修复
LENGTH18的博客
08-27 4132
WebSphere启用了TRACE,OPTIONS等不安全HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
AppScan扫描启用了不安全的“OPTIONSHTTP 方法
liudoyang的博客
12-26 3399
**服务器禁止不需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用了不安全的“OPTIONSHTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat的解决办法。现在记录一下websphere解决问题思路,给使用we...
通过options探测服务器信息,WEB服务器启用了OPTIONS方法
weixin_30843553的博客
08-10 2111
漏洞描述攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法:windows2008、windows2012,请在wwwroot目录建立web.config,内容如下windows 2003,打开控制面板-ISAPI筛选器-启用自定义重写组件,然后编辑httpd.conf,如果您已有其他规则,请添加到最上面RewriteEngine on...
weblogic检测到目标url存在http host头攻击漏洞如何解决
04-25
根据提供的引用内容,解weblogic检测到目标URL存在http host头攻击漏洞方法如下: 1. 在weblogic中配置HTTP Host头过滤器[^1]。可以通过以下步骤进行配置: - 打开weblogic控制台。 - 导航到“环境” -> “服务器” -> “目标服务器”。 - 选择目标服务器,然后点击“配置”选项卡。 - 在“过滤器”部分,点击“新建”按钮。 - 在“过滤器类”字段中输入“weblogic.servlet.internal.http.HttpHostFilter”。 - 点击“添加”按钮,然后在“参数”字段中输入“allowHosts”。 - 在“值”字段中输入允许的主机名列表,用逗号分隔。 - 点击“保存”按钮,然后重新启动weblogic服务器。 2. 在代码中使用可靠的方法获取HTTP Host头信息。可以使用以下代码替换原有的获取方法: ```java String host = request.getHeader("Host"); ``` 这样可以确保获取到的HTTP Host头信息是可靠的,避免被攻击者篡改。 3. 配置web应用的web.xml文件,禁用不必要的HTTP方法。可以通过以下代码将不需要的HTTP方法禁用: ```xml <web-app> ... <security-constraint> <web-resource-collection> <web-resource-name>Restricted Methods</web-resource-name> <url-pattern>/*</url-pattern> <http-method>TRACE</http-method> <http-method>DELETE</http-method> <http-method>PUT</http-method> <http-method>OPTIONS</http-method> <http-method>CONNECT</http-method> <http-method>TRACK</http-method> <http-method>MOVE</http-method> <http-method>COPY</http-method> <http-method>PROPFIND</http-method> <http-method>PROPPATCH</http-method> <http-method>MKCOL</http-method> <http-method>LOCK</http-method> <http-method>UNLOCK</http-method> <http-method>VERSION-CONTROL</http-method> <http-method>CHECKOUT</http-method> <http-method>CHECKIN</http-method> <http-method>UNCHECKOUT</http-method> <http-method>REPORT</http-method> <http-method>UPDATE</http-method> <http-method>LABEL</http-method> <http-method>MERGE</http-method> <http-method>BASELINE-CONTROL</http-method> <http-REDIRECT-REF</http-method> <http-method>VERSION-CONTROLLED-UPDATE</http-method> <http-method>BASELINE-CONTROLLED-CHECKOUT</http-method> <http-method>VERSION-CONTROLLED-CHECKOUT</http-method> <http-method>VERSION-CONTROLLED-CHECKIN</http-method> <http-method>VERSION-CONTROLLED-UNCHECKOUT</http-method> <http-method>VERSION-CONTROLLED-UPDATE-REDIRECT-REF</http-method> </web-resource-collection> <auth-constraint/> </security-constraint> ... </web-app> ``` 这样可以限制不必要的HTTP方法,减少攻击面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值