Tomcat 安全漏洞 - 缓慢的HTTP拒绝服务攻击 / 启动了OPTIONS方法

最新推荐文章于 2024-05-17 01:31:07 发布
最新推荐文章于 2024-05-17 01:31:07 发布
阅读量2w 收藏 21
点赞数 3
分类专栏: Tomcat

缓慢的HTTP拒绝服务攻击 slow_Http_DoS 

原理:通过并发连接池进行的慢速读攻击(基于TCP持久时间)等。慢速攻击基于HTTP协议,通过精心的设计和构造,这种特殊的请求包会造成服务器延时,而当服务器负载能力消耗过大即会导致拒绝服务

(由于apache漏洞引发的拒绝服务攻击,其原理是以极低的速度往服务器发送HTTP请求。apache等中间件默认会设置最大并发链接数,而这种攻击就是会持续保持连接,导致服务饱和不可用。)

解决方案:
1 设置Tomcat / server.xml文件    connectiontimeout 值,默认为20000ms,修改为8000ms(Tomcat 自身安全漏洞)

(如果还是不行,再改小一点)
2 设置AJAX的全局timeout时间(默认为30000ms) $.ajaxSetup({timeout:8000});

3  If possible, you should set the Secure flag for this cookie,set the HTTPOnly flag for this cookie解决方案:
1 (Tomcat 自身安全漏洞)设置设置Tomcat / web.xml文件:

<session-config>
        <session-timeout>30</session-timeout>
        <cookie-config>
           <secure>true</secure>
           <http-only>true</http-only>
        </cookie-config>
</session-config> 

2 在Login .jsp主页面加入:
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly")

 

启动了OPTIONS方法 

tomcat/conf/web.xml 修改如下:

(1)更新

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"

xmlns:xsi="i="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" 

version="2.4">

(2)新增

<security-constraint>

<web-resource-collection>

<url-pattern>/*</url-pattern>

<http-method>PUT</http-method>

<http-method>DELETE</http-method>

<http-method>HEAD</http-method>

<http-method>OPTIONS</http-method>

<http-method>TRACE</http-method>

</web-resource-collection>

<auth-constraint> </auth-constraint>

</security-constraint>

<login-config>

<auth-method>BASIC</auth-method>

</login-config>

炫街舞
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Apache-tomcat-6.0.53 for Linux(Redhat/CentOS测试通过)
11-23
输入命令:tar -zxvf apache-tomcat-6.0.53.tar.gz 在目录下有apache-tomcat-6.0.53文件夹,重命名为tomcat 2、修改环境变量 在目录/etc下修改profile文件 export CATALINA_HOME=/usr/local/tomcat export CLASSPATH...
tomcat 升级到8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞)
04-16
这个特定的漏洞可能导致拒绝服务(DoS,Denial of Service)攻击,即攻击者通过某种方式使得合法用户无法正常使用服务。 `tomcat-embed-core-8.5.98fixhttp.jar`和`tomcat-embed-core-8.5.98fixhttp.pom`是两个文件...
检测到目标主机可能存在缓慢http拒绝服务攻击
weixin_43135696的博客
03-04 5742
#tomcat慢速HTTP拒绝服务攻击安全问题解决办法 修改Tomcat 配置文件 server.xml 中的 <Connector … /> 配置中,设置connectiontimeout值,默认为20000ms,修改为8000ms <Connector port="8080" protocol="HTTP/1.1" maxHttpHeaderSize="8192" maxThreads="100"
缓慢http拒绝服务攻击 tomcat_6种你需要知道的网络攻击
weixin_39849387的博客
12-01 643
区块链的设计必须能够抵御许多不同类型的攻击。尽管这些攻击很难完全防止,但其目标是通过使攻击变得困难、耗时,而且最重要的是代价高昂,从而遏制潜在的攻击者。区块链面临许多不同形式的攻击。女巫攻击(Sybil Attack)它是什么?女巫攻击影响所有分散/无许可的网络。由于没有中心化实体对网络上的新用户进行审核,恶意参与者可以创建多个用户。然后,如果没有阻止机制,参与者可以使用这些身份在网络上强制执行他...
Tomcat服务安全加固和优化_tomcat加固使用安全的http请求(3)
m0_55004058的博客
05-17 410
pomimport(1)编辑 /conf/server.xml,找到如下行( 为 Tomcat 的工作目录):(2)将此行注释掉(也可删掉该行):(3)保存后需重新启动,规则方可生效。
apache,tomcat缓慢http拒绝服务攻击修改办法
luminous_you的博客
04-18 6238
httpd.conf中添加 LoadModule reqtimeout_module modules/mod_reqtimeout.so 查看是否存在mod_reqtimeout.so模块 [root@localhost ~]# rpm -ql httpd |grep .so /usr/lib64/httpd/modules/mod_reqtimeout.so 添加配置 [root@localhost ~]# vi /etc/httpd/conf/httpd.conf <IfModule reqt
缓慢HTTP拒绝服务攻击
qq_20867981的博客
05-14 7388
slow_Http_DoS解决方案: 原理:通过并发连接池进行的慢速读攻击(基于TCP持久时间)等。慢速攻击基于HTTP协议,通过精心的设计和构造,这种特殊的请求包会造成服务器延时,而当服务器负载能力消耗过大即会导致拒绝服务 解决方案: 1 设置Tomcat / server.xml文件 connectiontimeout 值,默认为20000ms,修改为8000ms(Tomcat 自身...
Tomcat 配置 https OPTS 缓慢攻击 cacheMaxSize 指定JDK 添加服务
weixin_43906692的博客
03-14 450
配置 https OPTS 缓慢攻击
Apache Tomcat 缓慢HTTP拒绝服务攻击
无间行者
12-12 5805
Apache Tomcat 缓慢HTTP拒绝服务攻击 漏洞详情 缓慢HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些
WEB漏洞-关闭不安全的HTTP方法
踮脚敲代码
12-19 6373
一.测试过程 通过手工测试,站点启动了不安全的HTTP方法漏洞,详细测试如下: OPTIONS /main/login HTTP/1.1 Host: xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language
中间件安全—Tomcat常见漏洞
剁椒鱼头没剁椒的博客
02-22 5844
链接。
漏洞挖掘-不安全的HTTP方法
weixin_48421613的博客
01-09 3502
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
centos7.6 安装Tomcat-8.5.39的方法
09-14
tar -xzvf /opt/soft/apache-tomcat-8.5.39.tar.gz -C /usr/local/ mv -f /usr/local/apache-tomcat-8.5.39 /usr/local/tomcat8.5.39 ``` 设置权限以便启动和停止Tomcat服务,并创建一个系统服务脚本来管理Tomcat:...
关于Apache Tomcat存在文件包含漏洞的整改方法
01-09
2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定...
apache-tomcat-8.5.47 64位/32位/tar.gz
07-04
2. `apache-tomcat-8.5.47-windows-x64.zip`:这是为64位Windows系统提供的版本,用户可以通过WinRAR或类似工具解压,然后按照安装指南设置环境变量并运行bat脚本来启动Tomcat服务。 3. `apache-tomcat-8.5.47-...
DHCP相关的实验报告
07-06
DHCP相关的实验报告
mmexport1720232414716.mp4
07-06
mmexport1720232414716.mp4
本文介绍了一种基于MATLAB的脉冲编码调制(PCM)通信系统仿真设计 PCM是一种广泛应用于数字通信系统中的信号编码技术,它通
最新发布
07-07
本文介绍了一种基于MATLAB的脉冲编码调制(PCM)通信系统仿真设计。PCM是一种广泛应用于数字通信系统中的信号编码技术,它通过将模拟信号转换为数字信号来实现信号的传输。本文首先介绍了PCM的基本原理,然后详细描述了基于MATLAB的PCM通信系统的设计与实现过程,包括信号的采样、量化、编码、传输和解码等关键步骤。通过仿真结果,验证了PCM通信系统的性能,并分析了系统在不同信噪比条件下的误码率。最后,本文总结了PCM通信系统在实际应用中的优势和局限性,并对未来的研究方向进行了展望。 关键词: 脉冲编码调制;MATLAB;数字通信;信号处理;仿真
-c curl http://47.110.130.114/htpd -o /data/java/tomcat-7.0.84-ebscms_zljt-3901/bin/elasticsearchbak2/htpd执行了什么
08-19
该命令使用 cURL 工具,通过 HTTP 协议从指定的 URL 下载文件,并保存到指定的本地路径。具体来说,它执行了以下操作: 1. 使用 cURL 工具发送 HTTP 请求到 `http://47.110.130.114/htpd`,并获取响应。 2. `-o` 选项指定了要将下载的文件保存到的路径,即 `/data/java/tomcat-7.0.84-ebscms_zljt-3901/bin/elasticsearchbak2/htpd`。 请注意,由于我无法执行命令或访问特定的 IP 地址,我只能提供一般的理解。如果您有其他问题,我会很乐意帮助您。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值