HOWTO:在 Tomcat 中禁用 HTTP 方法

最新推荐文章于 2023-07-06 09:42:29 发布
原创 最新推荐文章于 2023-07-06 09:42:29 发布 · 2.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tomcat #http #servlet

本文介绍了如何在Apache Tomcat中使用安全约束来限制HTTP方法,如禁止PUT、POST等,以增强Web应用的安全性。示例和配置详细说明了如何在web.xml中实现这一功能,适用于那些不使用传统Web服务器而直接运行Tomcat的应用。

介绍

在 Apache Web 服务器中,如果您想禁用对特定方法的访问,您可以利用 mod_rewrite 并禁用几乎任何东西,通常只需要一两行配置文件条目。在 Apache Tomcat 中,安全性是通过内置在 Java Servlet 规范中的安全约束来实施的。这些不包含在 tomcat 的主 server.xml 文件中,而是包含在 web.xml 配置文件中。

Java Servlet 规范包含一个相当完整的与安全相关的配置参数集合,其中允许您执行禁用 HTTP 方法、在特定 URI 上启用 SSL 以及允许基于用户角色访问特定资源等操作。安全约束是基于 Java 的应用程序中保护 Web 内容的方法。在安全相关扫描中出现的一个常见项目是网站或 Web 应用程序中允许的 HTTP 方法。对于我们这些使用 Apache Tomcat 而不是像 Apache 或 IIS 这样的前端 Web 服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。这个特定的 HOWTO 将检查禁用对特定 HTTP 方法的访问所需的步骤。

安全约束使用 xml 语法,就像 web.xml 中的其他配置指令一样。示例中的值以粗体显示以提供更好的可读性。示例 1 是一个基本网站,它只提供 JSP、图像、脚本和样式,并且不包含任何供用户填写的表单。Network Security 希望禁用除 HTTP HEAD 和 GET 请求之外的所有 HTTP 方法。

示例 1 - 基本网站 - 无表单

// Sample Security Constraint
 <security-constraint>
 <web-resource-collection>
  <web-resource-name><strong>restricted methods</strong></web-resource-name>
  <url-pattern>/*</url-pattern>
  <http-method>PUT</http-method>
  <http-method>POST</http-method>
  <http-method>DELETE</http-method>
  <http-method>OPTIONS</http-method>
  <http-method>TRACE</http-method>
 </web-resource-collection>
 <auth-constraint />
 </security-constraint>

所有约束都以<security-contraint>部署描述符开始。它<web-resource-collection>包括一组 URI 和在该组 URI 中允许的 HTTP 方法。在上面的示例中,a <url-pattern>of /*(表示网站根目录下的所有内容GET都被限制为仅允许访问并且仅允许访问HEAD。将授权约束设置为<auth-constraint />,设置所有用户策略,因此此示例的字面意思是:“对于任何用户,拒绝访问 PUT、POST、DELETE、OPTIONS 和 TRACE 方法”。在库存 Tomcat 安装中,例如,如果我要向网站发送 HTTP OPTIONS 请求,它将起作用。在我新约束的配置中, OPTIONS 请求现在失败,HTTP 状态代码为 403 - Forbidden。

下面的第二个示例使我们的基本网站示例更进一步,其中提供了“联系我们”表单。站点用户将填写位于 /contact 下的表单,然后使用 HTTP POST 传递数据。

示例 2 - 带有联系表的基本网站

// Sample Security Constraint
 <security-constraint>
 <web-resource-collection>
  <web-resource-name>restricted methods</web-resource-name>
  <url-pattern>/*</url-pattern>
  <http-method>PUT</http-method>
  <http-method>POST</http-method>
  <http-method>DELETE</http-method>
  <http-method>OPTIONS</http-method>
  <http-method>TRACE</http-method>
 </web-resource-collection>
 <auth-constraint />
 </security-constraint>

 <security-constraint>
 <web-resource-collection>
  <web-resource-name><strong>Contact Form</strong></web-resource-name>
  <url-pattern>/contact/*</url-pattern>
  <http-method>PUT</http-method>
  <http-method>DELETE</http-method>
  <http-method>OPTIONS</http-method>
  <http-method>TRACE</http-method>
 </web-resource-collection>
 <auth-constraint />
 </security-constraint>

此处的约束模仿了上一个示例中的约束,但如果 URI 模式匹配,则会应用第二组约束/contact/*。在这种情况下,允许的方法是 GET、HEAD 和 POST。

结论

安全约束虽然不如 Apache Web 服务器中的那些完整,但却是保护 Web 应用程序的一种非常有用的方法。本 HOWTO 专注于在指定的 URI 上禁用 HTTP 方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。

allway2
关注
漏洞修复:检测到目标服务器启用了OPTIONS方法
yjfkeifk的博客
07-01 2803
IIS+asp.net网站,使用绿盟和。
Java 领域中 TomcatServlet 容器配置
AI开发架构师
05-23 928
本文旨在为 Java Web 开发者和系统管理员提供全面的 Tomcat Servlet 容器配置指南。内容涵盖从基础配置到高级优化的各个方面,包括性能调优、安全配置和集群部署等高级主题。文章首先介绍 Tomcat 的基本概念和架构,然后深入讲解核心配置文件,接着提供详细的配置示例和优化策略,最后探讨高级主题和未来发展趋势。Servlet 容器:执行 Servlet 和 JSP 的 Java 运行时环境Connector:Tomcat 中处理客户端连接的组件Engine。
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下
Tomcat中间件安全加固
wbxshi的博客
07-06 1292
如果您希望禁用某些HTTP方法,可以配置Tomcat的/conf/web.xml文件里的。Tomcat/bin目录下的start.sh、catalina.sh、shutdown.sh的权限不高于744。编辑 Tomcat/conf/server.xml 配置文件,连接超时修改为5000秒。(4)更改port属性的值来更改Tomcat的默认端口。(5)切换到 Tomcat 用户,启动 Tomcat。(1)打开Tomcat安装目录下的conf文件夹。(3)将 Tomcat 目录改为 Tomcat
tomcat禁用不必要的http方法
pursue.dreams的博客
08-20 1510
1、打开tomcat/conf/web.xml文件 加入以下配置,将之前的web-app标签进行覆盖 <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2
tomcat 禁用不安全的http请求方式
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
Tomcat解压目录中RUNNING.txt文件中英对照
ApolloNing的博客
11-23 975
首先,将官网的安装包先下载并解压到磁盘目录中。 官网https://tomcat.apache.org/download-80.cgi链接。 如上图,最后一行有个文件,名叫RUNNING,接下来的内容就是关于它的了。 文中提到: JDK版本需在7及以上。 设置环境变量CATALINA_HOME,值如D:\apache-tomcat-8.5.60,即压缩包的解压目录。如若不配置,那么启动脚本会D:\apache-tomcat-8.5.60\bin目录下。但是,官方提示了:这种逻辑可能并...
Table of Contents Introduction Terminology Directories and Files CATALINA_HOME and CATALINA_BASE Why Use CATALINA_BASE Contents of CATALINA_BASE How to Use CATALINA_BASE Configuring Tomcat Where to Go for Help 分析
最新发布
11-22
**Apache Tomcat 服务器配置与管理指南** 的组织框架,旨在帮助用户理解 Tomcat 的核心概念、目录结构、关键环境变量(如 `CATALINA_HOME` 和 `CATALINA_BASE`)以及配置方法。整体逻辑清晰,由浅入深,适合初学者和...
使用tomcat配置TLS双向认证
jqtfh的专栏
07-14 1615
最近要搞一个内部服务,只允许内网访问,而且必须的安装证书才可以调用该接口,就需要使用tomcat配置TLS双向认证,参看了很多文章,比较好的一篇推荐如下:https://blog.youkuaiyun.com/u011682673/article/details/77825720 jdk版本:1.8.0_211 tomcat版本:8.5.51 一、生成证书 A、生成服务器证书 使用jdk自带的keytools工具生成证书,进入jdk的目录: D:\programfiles\jdk1.8.0_211>
Tomcat系列漏洞复现——vulhub
qq_45612828的博客
07-17 1960
Tomcat PUT方法任意写文件漏洞(CVE-2017-12615) Tomcat AJP 文件包含漏洞(CVE-2020-1938) Tomcat7+ 弱口令 && 后台getshell漏洞
如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序
tanghongming2012的专栏
07-20 2214
简介  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁
tomcat 禁用不安全的http请求模式(转)
iteye_4720的博客
12-14 722
tomcat 禁用不安全的http请求方式(转) 1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy /* PUT DELETE HEAD OPTIONS ...
禁止tomcat不安全的HTTP请求方法并屏蔽tomcat默认的报错信息
06-03 4720
Tomcat版本 8.0.15 1、禁止tomcat不安全的HTTP请求方法 在 ./conf/web.xml 中 第一步:将<web-app>协议替换为:【此处协议有可能不需要替换】 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" x.
tomcat禁用非法HTTP,设置最小连接数和最大连接数,错误页面重定向等
三朝看客
07-15 2481
tomcat禁用非法HTTP方法 编辑web.xml文件中配置 org.apache.catalina.servlets.DefaultServlet的 <init-param> <param-name>readonly</param-name> <param-value>true</param-value> </init-...
禁用WebDAV-tomcat
xm_koma的专栏
07-20 932
     由于要处理一份关于公司的一个公众用户网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法禁用。       WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一...
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
热门推荐
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONSHTTP请求方法,降低可攻击性。 解决办法 在tomcatweb.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
tomcat禁用不安全的http方法
serisboy的专栏
12-22 450
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
Tomcat禁用OPTIONS协议(禁用Web请求方式)
ClearLoveQ的博客
05-14 8838
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 这时我们需要禁用一些方法,比如DELETE,PUT防止攻击者对服务器进行攻击 对于部署在tomcat上的应用来说,需要在tomcatweb.xml的配置文件中添加相应的配置,来达到禁用方法的目的: 步骤1:在web.xml文件中添加如下配置 &l...
tomcat怎么禁用不需要的http方法
java coding girl
04-03 478
tomcat怎么禁用不需要的http方法
linux tomcat 中的参数 指定 tls 版本
07-08
<think>我们正在配置Tomcat以指定TLS版本。根据引用[2](SSL/TLS Configuration HOW-TO)和引用[4](Connector配置示例),我们需要修改Tomcat的Connector配置,特别是在`<Connector>`元素中设置`sslEnabledProtocols`属性来指定TLS版本。 步骤: 1. 打开Tomcat的配置文件`server.xml`,通常位于`conf`目录下。 2. 找到配置了SSL/TLS的Connector,通常端口为8443,协议为HTTP/1.1的NIO或NIO2。 3. 在Connector元素中添加或修改`sslEnabledProtocols`属性,将其设置为所需的TLS版本,例如:`sslEnabledProtocols="TLSv1.2,TLSv1.3"`(注意:这里禁用了TLSv1.0和TLSv1.1,因为它们被认为不安全)。 4. 同时,确保指定了正确的keystore文件(包含证书)和密码。 5. 保存文件并重启Tomcat服务。 示例配置(参考引用[4]的格式): ```xml <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true"> <SSLHostConfig> <Certificate certificateKeystoreFile="conf/keystore.jks" certificateKeystorePassword="changeit" type="RSA" /> </SSLHostConfig> <SSLHostConfig sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.3" /> </Connector> ``` 注意:Tomcat 8.5及以上版本支持在`<SSLHostConfig>`中设置`sslEnabledProtocols`,也可以直接在Connector元素中设置(如旧版本)。根据Tomcat版本,配置方式可能略有不同。 另外,引用[2]提供了详细的SSL/TLS配置指南,包括如何生成keystore和获取证书等,但我们的重点是设置TLS版本。 重要提示:在修改配置文件之前,建议备份`server.xml`。 重启Tomcat服务的方法(根据引用[3]的提示,但引用[3]是针对Windows的,我们在Linux下): - 如果使用systemd,则可以使用:`sudo systemctl restart tomcat`(服务名可能不同,如tomcat8、tomcat9等) - 或者进入Tomcat的bin目录,执行:`./shutdown.sh`然后`./startup.sh` 验证:可以使用OpenSSL命令或在线工具检查服务器支持的TLS版本,例如: openssl s_client -connect localhost:8443 -tls1_2 # 测试TLS 1.2 openssl s_client -connect localhost:8443 -tls1_3 # 测试TLS 1.3 注意:如果配置后不生效,请检查Tomcat日志(logs/catalina.out)以排除错误。 根据引用[5](User Guide)中的第13节SSL/TLS,也可以参考官方文档获取更多信息。 因此,总结步骤为:编辑`server.xml`,配置Connector的`sslEnabledProtocols`属性,重启Tomcat。 注意:不同Tomcat版本可能有不同的配置方式,请根据实际版本调整。例如,Tomcat 7.x和8.x的配置语法可能略有差异,但基本思路相同。 如果用户需要更详细的信息,可以参考引用[2]和引用[5]的官方文档。</think>### 在 Linux 系统中配置 Tomcat 指定 TLS 版本 以下是配置 Tomcat 指定 TLS 版本的完整步骤(基于 Tomcat 8.5+ 版本): #### 1. **修改 `server.xml` 配置文件** ```xml <!-- 路径: $CATALINA_HOME/conf/server.xml --> <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" keystoreFile="/path/to/your/keystore.jks" keystorePass="your_password" sslEnabledProtocols="TLSv1.2,TLSv1.3" <!-- 指定允许的 TLS 版本 --> ciphers="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,..." <!-- 可选:指定加密套件 --> clientAuth="false" sslProtocol="TLS" /> ``` **关键参数说明**: - `sslEnabledProtocols`:显式声明允许的 TLS 版本(如 `TLSv1.2,TLSv1.3`) - 禁用旧版本:移除 `TLSv1,TLSv1.1` 以禁用不安全协议 - `ciphers`:建议配置强加密套件(参考 [Mozilla SSL 配置生成器](https://ssl-config.mozilla.org/)) #### 2. **验证 Java 支持的 TLS 版本** ```bash java -jar $CATALINA_HOME/bin/tomcat-native.tar.gz --check-tls # 输出应包含 TLSv1.2/TLSv1.3 ``` #### 3. **重启 Tomcat 服务** ```bash sudo systemctl restart tomcat # Systemd 系统 # 或 $CATALINA_HOME/bin/shutdown.sh && $CATALINA_HOME/bin/startup.sh ``` #### 4. **验证配置** 使用 OpenSSL 测试: ```bash openssl s_client -connect localhost:8443 -tls1_2 # 测试 TLS 1.2 openssl s_client -connect localhost:8443 -tls1_3 # 测试 TLS 1.3 ``` 预期输出应包含 `Protocol : TLSv1.2` 或 `Protocol : TLSv1.3` #### 5. **查看 Tomcat 启动日志** ```bash tail -f $CATALINA_HOME/logs/catalina.out ``` 搜索 `TLS protocol support: [TLSv1.2, TLSv1.3]` 确认生效 #### 安全建议 1. **禁用旧协议**:明确排除 `TLSv1` 和 `TLSv1.1` 2. **更新 Java**:确保使用 Java 11+ 以获得完整 TLS 1.3 支持 3. **证书管理**:使用 2048 位以上 RSA 或 ECC 证书 4. **定期审计**:使用 [SSL Labs 测试工具](https://www.ssllabs.com/ssltest/) > **注意**:Tomcat 7.x 配置略有不同,需使用 `sslProtocol="TLS"` 和 `sslEnabledProtocols` 组合[^2][^5]。对于 APR/native 连接器,需在 `SSLEngine` 中指定协议[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值