springboot解决不安全的HTTP请求方式安全漏洞

最新推荐文章于 2024-01-05 09:59:27 发布
原创 最新推荐文章于 2024-01-05 09:59:27 发布 · 3.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #安全 #http

文章讲述了如何处理不安全的HTTP请求方式,如PUT和DELETE,提到了Tomcat和Nginx的特定漏洞。建议前端将PUT和DELETE转换为POST并使用X-HTTP-Method-Override头,后端则通过过滤器检查此头并相应调整请求方法。

简介

在安全漏洞中,有不安全的HTTP请求方式;
原因:
1、Tomcat PUT 的上传漏洞,受影响的版本:Apache Tomcat 7.0.0 to 7.0.79
2、 Nginx 在开启 WebDAV 模式下,如果未配置认证模式,攻击者可以通过自由上传文件方法上传木马攻击服务器。

整改建议:

禁止使用GET、POST以外的HTTP方法,如PUT、DELETE、TRACE等

vue和springboot的解决方式

处理方式:
1、前端在遇到put/delete方法的时候,将该方法改为post方法,然后添加请求头X-HTTP-Method-Override,将真实的请求方式放入;
2、后端:编写过滤器,如果方法是post方法,且有X-HTTP-Method-Override参数的,然后重新转到对应的方法

vue

image.png

  if (config.method.toLowerCase() === 'put') {
    config.method = 'post'
    config.headers['X-HTTP-Method-Override'] = 'put'
  } else if (config.method.toLowerCase() === 'delete') {
    config.method = 'post'
    config.headers['X-HTTP-Method-Override'] = 'delete'
  }
后端
package com.eshore.framework.security.filter;

import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.filter.OncePerRequestFilter;
import org.springframework.web.filter.RequestContextFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Locale;


@Component
//这里使用RequestContextFilter,OncePerRequestFilter有时会不生效 
public class HttpMethodOverrideHeaderFilter extends RequestContextFilter {

    
    private static final String X_HTTP_METHOD_OVERRIDE_HEADER = "X-HTTP-Method-Override";

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        String headerValue = request.getHeader(X_HTTP_METHOD_OVERRIDE_HEADER);
        if (RequestMethod.POST.name().equalsIgnoreCase(request.getMethod()) && StringUtils.hasLength(headerValue)) {
            String method = headerValue.toUpperCase(Locale.ENGLISH);
            HttpServletRequest wrapper = new HttpMethodRequestWrapper(request, method);
            filterChain.doFilter(wrapper, response);
        }
        else {
            filterChain.doFilter(request, response);
        }
    }

    private static class HttpMethodRequestWrapper extends HttpServletRequestWrapper {
        private final String method;

        public HttpMethodRequestWrapper(HttpServletRequest request, String method) {
            super(request);
            this.method = method;
        }

        @Override
        public String getMethod() {
            return this.method;
        }
    }
}
【漏洞】CSRF跨站请求伪造漏洞,springboot修复思路
游游的小博客
02-15 1164
CSRF跨站请求伪造漏洞
解决Spring Boot中的安全漏洞与防护策略
微赚淘客开发者博客
07-07 1244
本文深入探讨了Spring Boot中常见的安全漏洞及防护策略,介绍了使用Spring Security来加强应用程序的安全性,并提出了一些其他防范措施和最佳实践。Spring Security是Spring Framework提供的一种安全框架,能够有效地保护应用程序免受常见的安全威胁。在实际应用开发中,安全工作是一个持续断的过程。除了基础的防御措施外,团队应该定期进行安全审计和漏洞扫描,保持系统和依赖库的更新,及时修复已知的安全漏洞,并且进行安全培训以提高开发人员的安全意识。
Springboot解决安全的请求
01-05 1137
禁止使用GET、POST以外的HTTP方法,如PUT、DELETE、TRACE等。修改 Springboot 内置 Tomcat 的配置。项目启动可以看到 其他方法已被封禁。
启用安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
spring boot使用内嵌的tomcat解决安全HTTP方法安全漏洞
热门推荐
牛奋lch
08-04 1万+
最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--安全HTTP方法,如果对这个安全漏洞明白的地方,可以自行问度娘。 1、传统Web项目的解决方案使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于http安全的方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对安全的方法进行拦截。下面,我们重点说下第二种方案,因为
Springboot -- 网络安全漏洞处理
zhangdm的博客
02-26 9527
文章目录安全HTTP 方法以及 Nginx 屏蔽版本号显示说明检测方式安全HTTP 方法 处理代码屏蔽 Nginx 版本号显示点击劫持漏洞说明什么是ClickJacking检测方式处理代码XSS跨站脚本攻击说明检测方式处理代码 (参考网上的代码,主要是对传入的信息进行敏感字符的过滤) 安全HTTP 方法以及 Nginx 屏蔽版本号显示 说明 Web服务器在默认情况下开放了一些必要的HTTP方法(如OPTIONS,DELETE、PUT、TRACE、MOVE、COPY),增加了受攻击的几率,
springboot禁止内置Tomcat安全HTTP方法
wx优快云1997的博客
12-02 1544
参考: 学习-Springboot禁止内置Tomcat安全HTTP方法_liutinghui989的博客-优快云博客 在此省略起因,过程,反正领导让研究咱就研究。 代码: package com.yunan.framework.config; import org.apache.catalina.Context; import org.apache.catalina.connector.Connector; import org.apache.tomcat.util.descriptor.
学习-Springboot禁止内置Tomcat安全HTTP方法
liutinghui989的博客
04-17 9066
SpringBoot禁止内置Tomcat安全HTTP方法学习问题记录新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入...
springboot_host
01-11
"springboot_host"这个主题主要涉及的是Spring Boot应用如何处理和防止与主机(host)相关的安全漏洞。 主机漏洞通常涉及到恶意用户通过注入恶意的主机名来攻击系统,例如DNS欺骗或中间人攻击。在Spring Boot应用中...
启用安全HTTP方法
sunny_happy08的博客
10-12 773
启用安全HTTP方法 Java代码 修改web工程中或者服务器web.xml,增加安全配置信息,禁用必要HTTP方法 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>PUT</http...
启用危险Method
曉儂
09-06 3659
漏洞名称: 启用危险Method 描述: 目标WEB服务器启用了TRACE Method。 1.TRACE_MethodHTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本(简称XSS)攻击,这种攻击方式又称为跨站跟踪攻击(简称XST)。 危害: 1. 恶意...
Web 应用程序报告: 启用安全的“OPTIONS”HTTP 方法 建议:禁用 WebDAV,或者禁止需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 5672
Web 应用程序报告 有一项叫做启用安全的“OPTIONS”HTTP 方法 然后他会建议 禁用WebDAV,或者禁止需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
服务器默认开启Trace Method的潜在风险及解决方法
Mr.Bean
09-18 6204
Trace Method 的潜在风险及解决方法 结论 先贴结论,虽然官方声称该功能并无安全问题,然而禁用Trace带来的负面影响微乎其微,同时Appache官方也在1.3.34 和2.0.55加入了TraceEnable Off来简单的关闭该功能。故建议关闭该功能以防潜在风险。 顺带一提如果你的服务器没有用Appache服务器,如jetty的话,你可以搜索jetty Trace Method 来看...
springboot的application.yml配置
qq_42661906的博客
06-13 509
springboot+mybatis+thymeleaf server: port: 443 #项目端口号 ssl: #ssl证书配置 key-store: classpath:client.pfx key-store-type: PKCS12 key-store-password: e9wb6Go8 web: #服务器静态资源路径 upload-path: /www/server/webapps/upload front-path: /www/server/weba
springboot配置https
m0_49683806的博客
04-18 9320
springboot 下载ssl证书配置https
安全HTTP方法
冰雨蝶皇的博客
07-17 9680
近日,一个上线很久的项目,后台使用curl测试时发现了一个漏洞:安全HTTP方法,如下图所示: 一、HTTP方法 根据HTTP标准,HTTP请求可以使用多种方法,其如下所示: HTTP1.0定义了三种请求方法:GET、POST和HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE和CONNECT WebDAV (Web-based Dist...
启用安全HTTP方法-正确修复方法-apache
薄炙厚词的博客
05-17 3578
apache、http——启用安全http方法修复方案 @Time : 2021/5/17 下午5:04 @Author : 开始编辑~ 说明 apache默认安装之后,会开启多个http方法, 网络上有好多个修复方式是通过过滤的形式进行限制,但是治标治本 如果只使用过滤http方法进行限制会出现下列问题 使用过滤限制http请求方法的步骤 在httpd.conf配置文件中取消mod_rewrite.so模块的注释 #LoadModule rewrite_module modules/mod_r
Weblogic 禁用安全http请求
linfanhehe的专栏
11-07 1万+
网上搜了好多禁用http请求的方法,都是介绍tomcat容器下的相关配置,但是把web项目放到weblogic容器下会报错,无论如何也启动起来,费了一番功夫找到一篇文章,问题解决 初次使用Weblogic,因为之前是在Jboss或tomcat上部署的工程,运行正常,但是在weblogic上安装部署的时候,就出现了一个常见的问题:如下   意思是无法加载web
Springboot解决xss漏洞
最新发布
08-20
### 三级标题:Spring Boot 应用中防止 XSS 攻击的方法 在 Spring Boot 应用中,防止 XSS(跨站脚本攻击)的关键措施包括对用户输入进行转义、使用内容安全策略(CSP)、过滤恶意输入以及使用框架提供的安全功能。 对用户输入的数据进行转义是最有效的防御方式之一。在数据存储前,应对输入内容进行适当的 HTML、JavaScript 或 URL 编码,以防止恶意脚本在浏览器中执行。例如,在视图层渲染 HTML 页面时,确保转义后的数据会被解析为可执行脚本[^3]。 在 Spring Boot 中,可以通过实现 `Filter` 接口来创建一个 XSS 过滤器,拦截所有请求并清理用户输入。例如,创建一个 `XssFilter` 类,并使用 `XssHttpServletRequestWrapper` 对请求进行包装,以确保所有输入参数都经过清理处理: ```java package com.xxxx.filter.xss; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; @WebFilter(urlPatterns = "/*") public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { Filter.super.init(filterConfig); } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) servletRequest; XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(request); filterChain.doFilter(wrapper, servletResponse); } @Override public void destroy() { Filter.super.destroy(); } } ``` 此外,可以在 HTTP 响应头中设置内容安全策略(CSP),限制网页中脚本的加载来源。例如,通过设置 `Content-Security-Policy` 头部,只允许加载当前域名下的脚本,从而防止外部恶意脚本的执行: ```http Content-Security-Policy: script-src 'self'; ``` 这种策略可以显著降低 XSS 攻击的风险,尤其是在现代浏览器中支持较好的情况下。 使用 OWASP 提供的 `Encoder` 库或 `AntiSamy` 库也是有效的防御手段。`Encoder` 库可以用于对输出内容进行适当的编码,而 `AntiSamy` 则可以清理用户输入的 HTML 内容,确保其包含恶意脚本。 在开发过程中,应避免直接拼接用户输入的内容,而是使用模板引擎(如 Thymeleaf)进行视图渲染。模板引擎通常会自动对变量进行转义,从而防止恶意脚本注入。 定期对 Web 应用进行安全测试和代码审计,发现并修复潜在的 XSS 漏洞。使用自动化工具如 OWASP ZAP 或 Burp Suite 可以帮助识别和修复 XSS 漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WalkerShen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值