禁用WebDAV-Tomcat(检测到目标URL启用了不安全的HTTP方法)

最新推荐文章于 2024-07-01 21:07:59 发布
最新推荐文章于 2024-07-01 21:07:59 发布
阅读量3.8k 收藏 5
点赞数
分类专栏: Tomcat 网络安全 文章标签: Tomcat Http 网站安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjxeastchi/article/details/101023235
版权
本文介绍了如何通过修改Tomcat的web.xml文件来禁用不安全的HTTP方法,如PUT和DELETE,以防止服务器资源被恶意修改或删除。修复步骤包括更改文件编码、修改web-app标签属性、添加方法拦截代码以及设置readonly属性。通过Postman验证,确认已成功阻止了这些HTTP方法的使用,提高了网站的安全性。
摘要由CSDN通过智能技术生成

禁用WebDAV-Tomcat

0.问题说明

1)HTTP方法说明

PUT 向指定资源位置上传其最新内容。 
DELETE 请求服务器删除Request-URI所标识的资源。

2)绿盟扫描说明

如果未禁用以上HTTP方法,可能导致服务器被上传恶意资源 或 服务器资源被恶意删除
下图为2019年8月的扫描结果,在绿盟扫描标准里是低危漏洞
在这里插入图片描述

在这里插入图片描述

1. Tomcat版本说明

本文案例使用的是6.0.45版本,目测5版及7版应该能用同样方法修复该问题
(手动狗头,你们自己试吧)

2. 修复方案——修改tomcat的web.xml文件

1)encoding改为UTF-8

默认encoding一般是ISO-8859-1

<?xml version="1.0" encoding="UTF-8"?>

2)web-app标签属性修改

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/
最低0.47元/天 解锁文章
zjxeastchi
关注
专栏目录
14-1 tomcat安全基线检查
weixin_43263566的博客
12-07 1595
Apache Tomcat 是一款广泛使用的开源Web应用服务器,它主要实现了Java Servlet、JavaServer Pages (JSP) 和 Java Expression Language 规范,使得开发者可以构建和部署由Java编写的Web应用程序。作为一个成熟且经过广泛测试的解决方案,Tomcat 在业界享有较高的声誉,特别是因为其对于Web应用的高效运行支持,即便是在性能相对有限的硬件平台上,也能保证良好的运行效率。
网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能
HACKONE的博客
04-10 153
awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
web安全tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
01-10
WebDAV WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。 现在主流的WEB服务器
tomcat中间件禁用webdav方法
01-02
tomcat中间件禁用webdav方法 通过本方法,可以完成所有运行于该tomcat之上的java项目均拦截webdav方法
漏洞修复:检测目标服务器启用了OPTIONS方法
最新发布
yjfkeifk的博客
07-01 940
IIS+asp.net网站,使用绿盟和。
禁用WebDAV-tomcat
xm_koma的专栏
07-20 812
     由于要处理一份关于公司的一个公众用户网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法禁用。       WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一...
启用了不安全HTTP方法
u013673367的专栏
08-20 2035
启用了不安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
禁用tomcat6的webdav模块
weixin_34132768的博客
09-25 155
禁用tomcat6的webdav模块:说明:开启webdav模块后可通过命令行或客户端对web进行在线上传、下载、修改、删除等操作,如控制不好会带来安全隐患# vi /var/lib/tomcat6/conf/web.conf (在<web-app 下添加)按a或i进入编辑模式 <security-constraint><web-resourc...
Web 应用程序报告: 启用了不安全的“OPTIONS”HTTP 方法 建议:禁用 WebDAV,或者禁止不需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 5024
Web 应用程序报告 有一项叫做启用了不安全的“OPTIONS”HTTP 方法 然后他会建议 禁用WebDAV,或者禁止不需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
WEB项目HTTP HEADER常见的安全漏洞
m0_37049740的博客
03-12 2730
WEB项目中有些常见的漏洞,是大家都没注意到或者不了解的。这当中涉及了前后端程序设计的安全问题,也有HTTP 报文头的常见漏洞,如XSS等。这里梳理一些常见的漏洞,给大家做说明与提供一套解决方案。
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
tomcat禁用webdav
weixin_33953249的博客
04-06 747
tomcat的web.xml,以及自己项目的web.xml中,均需添加以下内容: &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;url-pattern&gt;/*&lt;/url-pattern&gt; &lt;http-method&g...
【漏洞修复】检测目标URL启用了不安全HTTP方法
LIARRR的博客
04-20 1366
检测目标Web服务器配置成允许下列其中一个(或多个)HTTP 方法:OPTIONS,DELETE, SEARCH,COPY,MOVE, PROPFIND, PROPPATCH, MKCOL ,LOCK ,UNLOCK。这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。
目标URL启用了不安全HTTP方法
教官的博客
10-30 801
修复目标URL启用了不安全HTTP方法
4.1.HTTP网络请求原理
深情小建
09-18 668
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
MIME TYPE
weixin_33843947的博客
07-18 1008
  MIME TYPE CreationTime--2018年7月18日16点27分 Author:Marydon Tomcat/conf/web.xml中有 用于设置响应类型 展示 &lt;!-- ===================== Default MIME Type Mappings =================== --&gt; &lt;!-- ...
如何禁用不必要的http方法?如何禁用webdav
06-01
禁用不必要的HTTP方法WebDAV可以提高Web服务器的安全性。可以通过修改Tomcat的配置文件来实现这些功能。以下是具体步骤: 1. 禁用不必要的HTTP方法Tomcat的配置文件中,可以使用<limit>标签来限制允许的HTTP方法。下面是一个示例配置: ``` <Valve className="org.apache.catalina.valves.rewrite.RewriteValve" /> <LimitExcept method="POST"> <deny from="all" /> </LimitExcept> ``` 上面的配置将禁止除POST之外的所有HTTP方法。可以根据需要添加其他HTTP方法,例如: ``` <LimitExcept method="POST,GET,HEAD"> <deny from="all" /> </LimitExcept> ``` 这将只允许POST、GET和HEAD方法。 2. 禁用WebDAV WebDAV是一种允许通过HTTP协议访问文件系统的技术。如果不需要使用WebDAV,最好禁用它,以避免潜在的安全漏洞。 要禁用WebDAV,可以在Tomcat的配置文件中添加以下配置: ``` <Valve className="org.apache.catalina.authenticator.BasicAuthenticator" disableProxyCaching="false" /> <Context path="/webdav" privileged="true" /> ``` 这将禁用WebDAV并删除与WebDAV相关的上下文路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值