apache禁用PUT、DELETE、TRACE等危险方法

最新推荐文章于 2024-06-08 08:02:26 发布
最新推荐文章于 2024-06-08 08:02:26 发布
阅读量5.6k 收藏 2
点赞数 1
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linwha1990/article/details/101771413
版权

在httpd.conf中增加,只允许GET、POST、OPTIONS方法

<Location "/">
   AllowMethods GET POST OPTIONS  
</Location>

重启apache

systemctl restart httpd.service

[ vulhub漏洞复现篇 ] Apache Tomcat 文件包含漏洞 (CVE-2020-1938)
qq_51577576的博客
05-31 510
🍬博主介绍 👨‍🎓 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有限,欢迎各位大佬指点,相互学习进步! 目录 🍬博主介绍 一、漏洞简介 二、漏洞编号(选填) 三、漏洞靶场(选填) 1. vulhub靶场环境搭建 2. 切换到此靶场目录 3. 启动靶场 4. 查看启.....
apache禁用不安全的http法_tomcat禁用不安全的HTTP方法
weixin_39640883的博客
01-14 978
一般情况下在项目开发完成之后上线之前一般都要经过安全组扫描,上周在处理一个微服务迁移过程中安全组提出了两个安全方面的问题,即微服务的api使用了不安全的http方法(DELETETRACE),事实上该微服务的http方法只使用了GET和POST,所以根据安全组的建议需要禁用不安全的HTTP方法。我准备通过一个简单的demo来演示如何进行配置,首先创建一个spring boot项目,根据需要选择需...
Apache服务器关闭TRACE Method请求方式的方法
09-15
主要介绍了Apache服务器关闭TRACE Method请求方式的方法,因为支持该方式的服务器存在跨站脚本漏洞,需要的朋友可以参考下
apachedelete
weixin_30414305的博客
12-22 259
<VirtualHost *:80>ServerAdmin sunqz@jerei.comDocumentRoot /web/dasdfServerName www.abc.com <Location /><LimitExcept GET POST > Order Allow,Deny Deny from all</LimitExcept>&l...
Java SpringBoot项目限制PUTDELETETRACE、OPTIONS、PATCH等危险方法的访问
mekings13的博客
05-28 1451
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
apache禁用不安全的http法_Apache安全配置之禁止目录访问的配置方法
weixin_39619170的博客
01-14 1246
在PHP网站开发中,为了让网站目录文件和程序代码的安全考虑,我们必须对某些目录或者文件的访问权限进行控制,来提高网站的安全,那么我们怎样来实现这种功能呢?这时候可以配置Apache来禁止网站以目录的形式列出网站内容。在Apache中没有配置禁止目录访问时候,当你访问 http://localhost 时会列出相关的目录和文件列表,我们可以通过修改Apache配置文件httpd.conf来实现禁止...
apache禁用不安全的http法_tomcat下禁止不安全的http方法
weixin_32126033的博客
12-24 534
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
关于HTTP协议禁用不常用方法漏洞的解决方案.docx
08-07
##### 一、禁用PUTDELETE方法 PUTDELETE方法通常不是必需的,特别是在没有实现相应的安全控制时。为了减少安全风险,建议禁用这两种方法。以Tomcat服务器为例: 1. **查找配置文件**:打开`conf/web.xml`文件。...
禁用Springboot以jar方式使用内嵌tomcat的不安全http方法
chemyoo的博客
02-01 558
禁用Springboot以jar方式使用内嵌tomcat的不安全http方法
Apache如何禁用http方法
Lucifer_QMY的博客
04-11 1689
Apache禁用 HTTP 方法可以通过修改 Apache 配置文件(如 httpd.conf)或虚拟主机配置文件(如 httpd-vhosts.conf)来实现。
[转载] Apache网站服务器安全之关闭TRACE Method
llnara的专栏
08-08 4048
网站优化至关重要,网站服务器安全也是重中之重。本文针对 Apache服务器介绍关闭TRACE Method的方法! 如何检测网站服务器安全:相信很多的seoer不是很了解,那么我介绍一个简单的方法用360的网站安全在线检测(webscan.360.cn)。只需要简单注册下验证一下网站权限就可以免费检测网站服务器漏洞网站漏洞了。 验证有三个方法,无关本文紧要暂且不表。也可以通过其他第三方网站
apache 关闭TRACE请求,禁止跨站攻击(XSS攻击)
qq_25096749的博客
06-08 794
详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html。注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理。2、apache禁止trace或track防止xss攻击。1、什么事XSS攻击。
不同层面禁用PUTDELETE、HEAD、TRACE、OPTIONS请求方式
因为热爱,所以付出
05-14 8020
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用 从tomcat来禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
apache 服务器开启PUT方法
人宅
09-02 2516
哈喽,大家好,我叫人宅 ,很高兴和大家一起来分享如何让apache服务器如何开启PUT方法。 我们在搭建自己的独立HTTP服务器,其中apache默认支持GET,POST等操作,但是不支持PUT和DELLTE.这个也是为了安全考虑,如果希望开通PUT功能,直接跳过账号验证,可以参考我下面的方法: 1.先打开如下文件,这里是关于apache服务器的相关配置 2.然后把下面的mod_dav和mode_dav_fs 打开 mod_dav:运行HTTP协议在远程的web访问上创建移动和复制及删除资
如何关闭Apache服务器的TRACE请求
热门推荐
andy1219111的专栏
07-05 2万+
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 如何关闭Apac
Apache-Trace method服务问题
DellsWeiner的博客
11-15 3297
目标web服务器启用了trace method trace method是http协议定义的一种协议调试方法,该方法会是服务器原样返回任意客户端请求的内容,可用来进行跨站脚本xss的攻击,又称跨站跟踪攻击xst 危害:可以通过trace method返回的信息了解到网站前端的信息,即使网站对关键页面做了httponly头标记和禁止脚本读取cookie信息,trace method还是可以绕过这个限制读到cookie 如何禁用Apache配置文件httpd-conf中【VirtualHost】各虚
学习笔记-绕过php禁用函数
人饭子的博客
10-31 743
bypass_disable_function 相关文章 & Source & Reference CTF中的命令执行绕过 无需sendmail:巧用LD_PRELOAD突破disable_functions php中函数禁用绕过的原理与利用 相关工具 Medicean/as_bypass_php_disable_functions yangyangwithgnu/byp...
jetty禁用http putdelete方法的方式
shuipinglp的专栏
10-30 2216
1. 基于xml的配置方式 <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>...
不安全的http方法如何修复
最新发布
12-14
不安全的HTTP方法是指那些可能会被攻击者利用来进行恶意操作的方法,例如PUTDELETETRACE等。这些方法在某些情况下可能会导致安全漏洞,因此需要采取一些措施来修复它们。 以下是一些常见的修复方法: 1. **禁用不必要的HTTP方法**: - 在Web服务器(如Apache、Nginx)中配置,只允许必要的HTTP方法(如GET、POST),禁用其他不必要的方法。 - 例如,在Apache中,可以通过.htaccess文件或服务器配置文件来禁用不安全的HTTP方法: ```apache <LimitExcept GET POST HEAD> Deny from all </LimitExcept> ``` 2. **使用防火墙**: - 配置防火墙规则,阻止不安全的HTTP方法请求。 - 例如,在iptables中,可以添加规则来阻止DELETETRACE方法: ```bash iptables -A INPUT -p tcp --dport 80 -m multiport --dports 80,443 -m string --algo bm --string "DELETE" -j DROP iptables -A INPUT -p tcp --dport 80 -m multiport --dports 80,443 -m string --algo bm --string "TRACE" -j DROP ``` 3. **应用程序层控制**: - 在应用程序代码中,检查HTTP请求的方法类型,只允许合法的请求方法。 - 例如,在使用Express.js的Node.js应用中,可以这样配置: ```javascript app.use((req, res, next) => { const allowedMethods = ['GET', 'POST', 'HEAD']; if (!allowedMethods.includes(req.method)) { return res.status(405).send('Method Not Allowed'); } next(); }); ``` 4. **定期安全审计**: - 定期进行安全审计,检查是否有不安全的HTTP方法被启用。 - 使用自动化工具扫描Web应用程序,检测是否存在不安全的HTTP方法。 通过以上方法,可以有效减少不安全的HTTP方法带来的安全风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值