启用了不安全的HTTP方法

最新推荐文章于 2025-04-22 15:38:43 发布
原创 最新推荐文章于 2025-04-22 15:38:43 发布 · 804 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web.xml

启用了不安全的HTTP方法

 
安全风险:
      可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。
可能原因:
      Web 服务器或应用程序服务器是以不安全的方式配置的。
修订建议:
      如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。
方法简介:
除标准的GET和POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法:
  PUT    向指定的目录上载文件
  DELETE   删除指定的资源
  COPY   将指定的资源复制到Destination消息头指定的位置
  MOVE   将指定的资源移动到Destination消息头指定的位置
  SEARCH   在一个目录路径中搜索资源
  PROPFIND   获取与指定资源有关的信息,如作者、大小与内容类型
  TRACE   在响应中返回服务器收到的原始请求
其中几个方法属于HTTP协议的WebDAV(Web-based Distributed Authoring and Versioning)扩展。
 
渗透测试步骤:
使用OPTIONS方法列出服务器使用的HTTP方法。注意,不同目录中激活的方法可能各不相同。
许多时候,被告知一些方法有效,但实际上它们并不能使用。有时,即使OPTIONS请求返回的响应中没有列出某个方法,但该方法仍然可用。
手动测试每一个方法,确认其是否可用。
 
使用curl测试:

curl --X OPTIONS http://www.example.com/test/

查看响应的 Allow: GET, HEAD, POST,  PUTDELETE, OPTIONS

curl --T test.html  http://www.example.com/test/test.html

看是否能上载来判断攻击是否生效。
 
找一个存在的页面,如test2.html

curl -X DELETE http://www.example.com/test/test2.html

如果删除成功,则攻击有效。
 
解决方案:
如tomcat,配置web.xml

<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>

重启tomcat即可完成。
以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效,如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。
 
FROM:http://yingfangming.blog.163.com
802.11kvr无线漫游原理及漫游测试工具推荐
weixin_41500064的博客
02-14 2万+
无线漫游kvr机制原理详解,漫游测试工具推荐
网络协议】802.11r/k/v协议(“快速漫游三协议”)核心机制及协同流程
学习代码
09-01 698
摘要:802.11r/k/v协议协同实现毫秒级无缝漫游,解决传统切换延迟问题。802.11k通过邻居报告快速发现最优AP;802.11v由网络主动引导负载均衡;802.11r简化认证流程,密钥预协商将切换时间压缩至5ms内。三协议分工协作(发现-决策-接入),使整体时延从200-500ms降至10-50ms,满足VoWiFi等高实时业务需求。部署需设备全协议支持及统一网络配置,结合分布式网关可实现跨子网无感切换。
ieee802.11k/v/r协议
05-25
wifi漫游协议kvr三合一,原文原档
802.11k/v/r】
weixin_45220354的博客
04-23 1245
终端通过802.11k协议将探测到的周围的BSS信息上传给AC,AC判断满足漫游条件后根据感知结果生成最优漫游切换候选列表。AC通过802.11v协议下发漫游切换请求报文,建议终端进行快速漫游切换。AP实时监测终端的 Rssi值,低于门限后立即上报AC。802.11k:无线客户端快速的发现可用的无线服务。802.11v:引导终端接入到就近的ap上。802.11r:缩短漫游切换中断的时间。
802.11kvr 协同漫游/快速漫游三协议
m0_54931486的博客
04-22 462
Index
WIFI基础入门--802.11k--无线局域网络频谱测量
热门推荐
香蕉一号
04-15 1万+
WIFI基础入门--802.11k1.介绍2.缩写和首字母缩写3.无线局域网无线电测量(Wireless LAN Radio Measurements)无线局域网(WLAN)的无线电测量使STAs能够了解所处的无线电环境信标(Beacon)测量试验(Measurement Pilot)帧(Frame)信道负载(Channel load)噪音直方图(Noise histogram)STA统计(STA...
学一点Wi-Fi:802.11k/v/u/ai
qq_23087099的博客
05-24 6314
802.11k,802.11v,802.11u,802.11ai。 除了802.11r以外,还有很多802.11标准都影响、改进了Roaming以及无线网络连接的行为。
IEEE-802.11r说明
01-18
IEEE802.11r协议标准资料文档,无线漫游
iOS 上通过 802.11k、802.11r 和 802.11v 实现 Wi-Fi 网络漫游
weixin_30834019的博客
01-03 1122
在 iOS 上通过 802.11k、802.11r 和 802.11v 实现 Wi-Fi 网络漫游 了解 iOS 如何使用 Wi-Fi 网络标准提升客户端漫游性能。 iOS 支持在企业级 Wi-Fi 网络上对客户端漫游进行优化。802.11 工作组标准 k、r 和 v 可让客户端在同一网络内更加顺畅地从一个接入点 (AP) 漫游到另一个接入点。 802.11k ...
802.11kvr协议介绍
12-03
详细介绍了cisco无线wireless中802.11k, v ,r的协议以及相关流程
mesh——802.11kvr
11-01
support 802.11kvr,
802.11kvr.7z
05-14
802.11 KVR协议,主要解决WIFI漫游问题。802.11k 通过创建优化的频道列表,802.11k 标准有助于 iOS 加快搜索附近可作为漫游目标的接入点。如果当前接入点的信号强度变弱,您的设备将进行扫描来确定是否有此列表中的目标接入点。 802.11r 当您的 iOS 设备从一个接入点漫游至同一网络上的另一个接入点时,802.11r 可使用一种名为“快速基本服务设置转换 (FT)”的功能更快地进行鉴定。FT 适用于预共享密钥 (PSK) 和 802.1X 鉴定方法。 iOS 10 及更高版本在 Cisco 无线网络上包含对自适应 802.11r 的支持。自适应 802.11r 提供 FT,无需在已配置的 Cisco 无线网络上启用 802.11r。 802.11v iOS 在某些设备上支持 802.11v 基本服务设置 (BSS) 转换管理功能。BSS 转换管理功能允许网络的控制层影响客户端漫游行为,方法是向客户端提供附近接入点的负载信息。iOS 在确定可能的漫游目标时会考虑此信息。 802.11v 能够通过 FT 的更快速接入点关联加快搜索最佳目标接入点,当您把它与 802.11k 结合使用时 ,应用的性能会加快,您也可以在 iOS 中获得更好的 Wi-Fi 体验。
802.11k协议标准
09-21
ieee官网下载的802.11k协议标准,分享出来供大家参考,同时也要赚取一丢丢的下载积分 这样的话我也可以去下载其它资料了,我木有下载积分啊 悲剧
无线通信协议集(中文)全
10-18
编号 文件名称 cwts-specs-001 IMT-DS FDD(WCDMA)系统无线接口物理层技术规范:名语术语 cwts-specs-002 IMT-DS FDD(WCDMA)系统无线接口物理层技术规范:概述 cwts-specs-003 IMT-DS FDD(WCDMA)系统无线接口物理层技术规范:物理信道和传输信道到物理信道的映射 cwts-specs-004 IMT-DS FDD(WCDMA)系统无线接口物理层技术规范:信道编码与复用 cwts-specs-005 IMT-DS FDD(WCDMA)系统无线接口物理层技术规范:扩频与调制 cwts-specs-006 IMT-DS FDD(WCDMA)系统无线接口物理层技术规范:物理层过程 cwts-specs-007 IMT-DS FDD(WCDMA)系统无线接口物理层技术规范:物理层测量 cwts-specs-008 IMT-DS FDD(WCDMA)系统无线接口层2技术规范:物理层向上层提供的服务 cwts-specs-009 IMT-DS FDD(WCDMA)系统无线接口层2技术规范:MAC协议 cwts-specs-010 IMT-DS FDD(WCDMA)系统无线接口层2技术规范:RLC协议 cwts-specs-011 IMT-DS FDD(WCDMA)系统无线接口层2技术规范:PDCP协议 cwts-specs-012 IMT-DS FDD(WCDMA)系统无线接口层2技术规范:BMC协议 cwts-specs-013 IMT-DS FDD(WCDMA)系统无线接口层3技术规范:RRC协议 cwts-specs-014 IMT-DS FDD(WCDMA)系统Iu接口技术规范:概述 cwts-specs-015 IMT-DS FDD(WCDMA)系统Iu接口技术规范:层1技术要求 cwts-specs-016 IMT-DS FDD(WCDMA)系统Iu接口技术规范:信令传输 cwts-specs-017 IMT-DS FDD(WCDMA)系统Iu接口技术规范:RANAP信令 cwts-specs-018 IMT-DS FDD(WCDMA)系统Iu接口技术规范:数据传输和传输信令 cwts-specs-019 IMT-DS FDD(WCDMA)系统Iu接口技术规范:用户平面协议 cwts-specs-020 IMT-DS FDD(WCDMA)系统Iub接口技术规范:概述 cwts-specs-021 IMT-DS FDD(WCDMA)系统Iub接口技术规范:层1技术要求 cwts-specs-022 IMT-DS FDD(WCDMA)系统Iub接口技术规范:信令传输 cwts-specs-023 IMT-DS FDD(WCDMA)系统Iub接口技术规范:NBAP信令 cwts-specs-024 IMT-DS FDD(WCDMA)系统Iub接口技术规范:用于CCH数据流的数据传输和传输信令 cwts-specs-025 IMT-DS FDD(WCDMA)系统Iub接口技术规范:用于CCH数据流的用户平面协议 cwts-specs-026 IMT-DS FDD(WCDMA)系统Iur接口技术规范:概述 cwts-specs-027 IMT-DS FDD(WCDMA)系统Iur接口技术规范:层1技术要求 cwts-specs-028 IMT-DS FDD(WCDMA)系统Iur接口技术规范:信令传输 cwts-specs-029 IMT-DS FDD(WCDMA)系统Iur接口技术规范:RNSAP信令 cwts-specs-030 IMT-DS FDD(WCDMA)系统Iur接口技术规范:用于CCH数据流的数据传输和传输信令 cwts-specs-031 IMT-DS FDD(WCDMA)系统Iur接口技术规范:用于CCH数据流的用户平面协议 cwts-specs-032 IMT-DS FDD(WCDMA)系统Iub/Iur接口技术规范:用于DCH数据流的数据传输和传输信令 cwts-specs-033 IMT-DS FDD(WCDMA)系统Iub/Iur接口技术规范:用于DCH数据流的用户平面协议 cwts-specs-034 TD-SCDMA系统无线接口物理层技术规范 cwts-specs-035 TD-SCDMA系统无线接口层2技术规范 cwts-specs-036 TD-SCDMA系统无线接口层3-RRC技术规范 cwts-specs-037 TD-SCDMA系统Iu接口技术规范 cwts-specs-038 TD-SCDMA系统Iub接口技术规范 cwts-specs-039 TD-SCDMA系统Iur接口技术规范 cwts-specs-040 TD-SCDMA系统基站设备无线收发特性技术规范 cwts-specs-041 TD-SCDMA系统用户终端设备无线收发特性技术规范 CWTS发布的研究报告列表 cwts-reports-001 IMT-DS FDD(WCDMA)系统连接模式下的层间过程(25.303)标准研究报告 cwts-reports-002 IMT-DS FDD(WCDMA)系统空闲模式下UE的流程和连接模式下小区重选流程(25.304)标准研究报告 cwts-reports-003 IMT-DS FDD(WCDMA)系统无线资源管理RRM研究报告 cwts-reports-004 IMT-DS FDD(WCDMA)系统无线资源管理RRM研究报告 cwts-reports-005 IMT-DS FDD(WCDMA)系统UE无线接入能力研究报告
802.11R原理(中文)
01-22
该文档主要介绍802.11R技术在原理以及细节层面上的介绍。有能力的可以看802.11R官方标准文档
802.11K英文协议和空口数据包和相关文档
12-24
802.11K协议是无线局域网(WLAN)标准的一部分,它由IEEE制定,主要用于提高无线网络的性能和效率,特别是涉及到网络漫游时。802.11K的主要目标是增强无线客户端对周围环境的感知能力,以便在多个接入点(AP)之间...
如何在TP-Link AP设备中启用802.11k/v/r实现无缝漫游
08-26
### 配置 TP-Link AP 设备启用 802.11k/v/r 协议以实现无线无缝漫游 在 TP-Link 的无线接入点(AP)设备中,启用 802.11k、802.11v 和 802.11r 协议可以显著提升无线网络漫游性能,使客户端在多个 AP 之间切换时...
802.11k/v在漫游过程中如何发挥作用
最新发布
09-11
首先,用户的问题是:“802.11k/v在漫游过程中如何发挥作用”,我需要用中文回答。用户指定了语言:请使用中文回答问题。 我的回答必须包括: 1. 回答用户的问题。 2. 在回答末尾,添加3-5个相关问题。相关问题必须...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值