omcat禁用OPTIONS协议

最新推荐文章于 2025-05-12 15:15:40 发布
转载 最新推荐文章于 2025-05-12 15:15:40 发布 · 282 阅读 · 0

本文介绍如何在Tomcat服务器上禁用不安全的HTTP OPTIONS方法,防止潜在的安全风险,并提供了具体的配置步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

冷冷七弦上,静听松风寒 
最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是: 启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表 
解决方案: 
你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 
打开tomcat–>conf–>web.xml 文件: 
这里写图片描述
把图中红框中的部分替换为:

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
         version="2.4">
  • 1
  • 2
  • 3
  • 4

然后在下面追加:

<security-constraint>
        <web-resource-collection>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint>
        </auth-constraint>
    </security-constraint>
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15

<http-method> 元素里面的的协议即是要被禁止的协议类型; 
看效果: 
用命令测:

crul -v -X OPTIONS http://localhost:8080/login.jsp
  • 1

在没有禁止前,测试结果如下图: 
这里写图片描述
很明显可以看到把页面的内容全部直接返回了,这是很危险的; 
替换了Tomcat下的web.xml之后再测试,结果如下: 
这里写图片描述
效果一目了然; 
接下来,简单解释一下上面各参数: 
<security-constraint> 的子元素 <http-method> 是可选的,如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 
子元素 <auth-constraint> 需要和 <login-config> 相配合使用,但可以被单独使用。如果没有 <auth-constraint> 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 <security-constraint> 中没有 <auth-constraint>子元素的话,配置实际上是不起中用的。如果加入了 <auth-constraint> 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。

对于<login-config>
当访问服务器中受保护的资源时,容器管理的验证方法可以控制确认用户身份的方式。Tomcat支持四种容器管理的安全防护,它们是:

  1. BASIC(基本验证):通过HTTP验证,需要提供base64编码文本的用户口令
  2. DIGEST(摘要验证):通过HTTP验证,需要提供摘要编码字符串的用户口令
  3. FORM(表单验证):在网页的表单上要求提供密码
  4. CLIENT-CERT(客户端证书验证):以客户端证书来确认用户的身份
liyuling52011
关注
omcat-juli.jar,tomcat-juli-adapters.jar,log4j-1.2.17.jar
08-07
首先,我们要关注的是`omcat-juli.jar`和`tomcat-juli-adapters.jar`这两个文件。它们是Tomcat的JULI(Java Util Logging Implementation)日志框架的扩展。JULI是Tomcat内置的日志系统,提供了一种统一的方式来记录...
Tomcat最佳实践T.omcat最佳实践
06-14
Apache Tomcat是一款广泛使用的开源Servlet容器,它实现了Java Servlet和JavaServer Pages(JSP)规范,是Apache软件基金会Jakarta项目的核心部分。Tomcat以其轻量级、高效和稳定性受到开发者喜爱,尤其适合中小型...
Tomcat禁用OPTIONS协议(禁用Web请求方式)
ClearLoveQ的博客
05-14 8713
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 这时我们需要禁用一些方法,比如DELETE,PUT防止攻击者对服务器进行攻击 对于部署在tomcat上的应用来说,需要在tomcat的web.xml的配置文件中添加相应的配置,来达到禁用方法的目的: 步骤1:在web.xml文件中添加如下配置 &l...
Tomcat禁用OPTIONS/DELETE等
xuxujing的专栏
11-19 775
    测试:curl -v -X OPTIONS http://localhost:8080/a/ curl -v -X OPTIONS http://localhost:8080/b.jsp Tomcat的Web.xml中添加如下配置:&lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;url-pattern...
JAVA禁用OPTIONS等请求方式不同实现方法
最新发布
CR7_WS的博客
05-12 618
三种禁用特定HTTP请求方法的方式
Tomcat禁用OPTIONS协议
A_Runner的博客
06-08 1万+
冷冷七弦上,静听松风寒 最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是: 启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表 解决方案: 你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 打...
Tomcat隐藏版本号和禁用OPTIONS.
weixin_43915921的博客
01-14 2278
Tomcat隐藏版本号
Tomcat过滤请求方式
q908544703的博客
06-02 1687
1.修改tomcat配置文件conf的web.xml(增加红色部分) 2.新增如下内容 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87
linux安装omcat
01-10
### 如何在 Linux 上安装 Apache Tomcat #### 下载 Tomcat 镜像文件 为了获取最新的稳定版 Tomcat,在官方站点 Apache Tomcat® - Apache Tomcat 8 Software Downloads 中下载 tar.gz 的 core 版本[^2]。...
omcat-redis-session-manager的jar包-包含Tomcat7和Tomcat8
09-12
标题中的"omcat-redis-session-manager"是一个专为Apache Tomcat设计的组件,它使得Tomcat服务器能够将用户的会话(session)数据存储在Redis内存数据库中,而非默认的基于内存或者硬盘的会话管理方式。这个解决方案...
omcat7.0安装及配置教程
04-30
Tomcat 是一个免费的、开源的 Web 服务器,它是用 Java 语言编写的,用于支持 Java Servlet 和 JSP(JSP 是动态生成 HTML、XML 或其他类型文档的服务器端脚本),Tomcat 7.0 是 Tomcat 的一个版本。...
各中间件禁用不安全的HTTP方法
02-10
各中间件禁用不安全的HTTP方法,安全加固方法学习方法参考。
OPTIONS方法禁用
热门推荐
zqhao的博客
03-13 2万+
在给系统做安全检测的过程中,发现了一个低危安全性问题,检测到目标服务器启用了OPTIONS方法OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。 解决...
WELOGIC&TOMCAT禁用OPTIONS方法
sdjzuch的专栏
09-16 1939
1、验证是否允许使用OPTIONS方法请求 curl -v -X OPTIONS http://IP:PORT/SERVLETNAME 如:curl -v -X OPTIONS http://127.0.0.1:2438/custserv 如果允许OPTIONS方法则返回如下: * About to connect() to 127.0.0.1 port 2438 (#0) * Tr...
不同层面禁用PUT、DELETE、HEAD、TRACE、OPTIONS请求方式
因为热爱,所以付出
05-14 8166
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用 从tomcat禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
HOWTO:在 Tomcat禁用 HTTP 方法
allway2的博客
07-21 2040
在安全相关扫描中出现的一个常见项目是网站或Web应用程序中允许的HTTP方法。对于我们这些使用ApacheTomcat而不是像Apache或IIS这样的前端Web服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。安全约束虽然不如ApacheWeb服务器中的那些完整,但却是保护Web应用程序的一种非常有用的方法。本HOWTO专注于在指定的URI上禁用HTTP方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。...
处理weblogic、tomcat关闭不安全的http请求
Linuxprobe18的博客
08-24 2016
导读 不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 禁止不安全的http请求方式PUT、DELETE、HEAD、OPTIONS、TRACE等,只保留GET和POST请求。其中tomcat和weblogic部署解决方案都是在web.xml中添加配置文件,但格式有所差异,详情如下: Tom
如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序
tanghongming2012的专栏
07-20 2190
简介  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值