启用了不安全的http请求方法 OPTIONS

最新推荐文章于 2023-09-03 19:28:47 发布
原创 最新推荐文章于 2023-09-03 19:28:47 发布 · 6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#options #http方法 #appscan #tomcat配置 #禁用http请求

本文介绍如何在Tomcat服务器中禁用某些HTTP方法,如PUT、DELETE等,通过在web.xml文件中添加特定配置实现。适用于需要增强Web应用安全性的情况。

tomcat配置:

在tomcat的web.xml中添加如下的代码后重启tomcat,注意添加后只对tomcat下的目录有效。参照所需禁用的http方法添加。

<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
<http-method>DELETE</http-method>  
<http-method>HEAD</http-method>  
<http-method>OPTIONS</http-method>  
<http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
 </security-constraint>  
 <login-config>  
   <auth-method>BASIC</auth-method>  
 </login-config>

如果是其他应用程序,配置如下:

<?xml version="1.0" encoding="UTF-8"?>  
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  
    version="2.4">

漏洞修复:检测到目标服务器启用OPTIONS方法
yjfkeifk的博客
07-01 2797
IIS+asp.net网站,使用绿盟和。
安全问题】启用安全HTTP方法——深度分析及解决方案
Hello_MiaoJiang的博客
09-28 7602
前言 启用安全HTTP方法是常见的安全报错。本文将对八种主要的HTTP方法进行原理及安全性分析,并提供简单的解决方案。 1、HTTP方法安全性分析 1.1 HTTP方法由来 HTTP协议提供了集中请求方式,每种请求方式都有同的作用,HTTP请求可以使用多种请求方法HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法HTTP1.1新增了五种请求方法OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 1.2 HTTP方法详述 GET方法:G
4.1.HTTP网络请求原理
深情小建
09-18 792
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
启用安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
Springboot -- 网络安全漏洞处理
zhangdm的博客
02-26 9531
文章目录安全HTTP 方法以及 Nginx 屏蔽版本号显示说明检测方式安全HTTP 方法 处理代码屏蔽 Nginx 版本号显示点击劫持漏洞说明什么是ClickJacking检测方式处理代码XSS跨站脚本攻击说明检测方式处理代码 (参考网上的代码,主要是对传入的信息进行敏感字符的过滤) 安全HTTP 方法以及 Nginx 屏蔽版本号显示 说明 Web服务器在默认情况下开放了一些必要的HTTP方法(如OPTIONS,DELETE、PUT、TRACE、MOVE、COPY),增加了受攻击的几率,
启用安全的“OPTIONSHTTP方法 - OPTIONS *
akaiyijian001的博客
05-04 2721
方法,该方法被认为是危险的,部分漏扫工具会认为其用了WebDAV。通过源码debug,tomcat会对。通过构造请求进行源码debug。请求时,响应报文请求头。进行特殊处理,该实现在。
AppScan扫描启用安全的“OPTIONSHTTP 方法
liudoyang的博客
12-26 4048
**服务器禁止需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用安全的“OPTIONSHTTP 方法。给到的建议是禁用 WebDAV,或者禁止需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat的解决办法。现在记录一下websphere解决问题思路,给使用we...
精选资源
安全http方法、CSRF等漏洞修复问题
01-07
安全HTTP 方法是指服务器开启了安全HTTP 请求方法,如 DELETE、SEARCH、COPY、MOVE、MKCOL、LOCK、PROFIND、PROPATCH、TEACR、HEAD、PUT 等。攻击者可以利用该漏洞在 web 服务器上上传、下载、修改或删除 ...
Vue使用axios出现options请求方法
10-16
这是因为POST请求在CORS策略下被认为是安全的,所以浏览器会先发送OPTIONS请求来确保服务器允许这种类型的请求。以下是相关知识点的详细说明: 1. **CORS**:CORS是一种W3C标准,它允许浏览器和服务器进行跨域...
安全测试-渗透测试-安全http方法问题及解决方案.doc
09-10
在Weblogic中间件中,存在安全HTTP方法,主要包括PUT、DELETE、TRACE、OPTIONS以及HEAD等方法。这些方法的存在可能会导致经授权的数据修改、敏感信息泄露等问题。 ##### Tomcat环境下的问题描述 类似地,在...
Web 应用程序报告: 启用安全的“OPTIONSHTTP 方法 建议:禁用 WebDAV,或者禁止需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 5675
Web 应用程序报告 有一项叫做启用安全的“OPTIONSHTTP 方法 然后他会建议 禁用WebDAV,或者禁止需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
启用安全HTTP方法
u013673367的专栏
08-20 2212
启用安全HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以安全的方式配置的。 修
WebSphere启用了TRACE,OPTIONS安全HTTP方法漏洞修复
LENGTH18的博客
08-27 4782
WebSphere启用了TRACE,OPTIONS安全HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为关闭http安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
目标服务器开启了安全HTTP方法OPTIONS方法
wxd110119120的专栏
03-08 7067
产生原因: OPTIONS进行禁用处理。 解决办法: 对IIS管理器中的 功能视图》授权规则 设置了只允许GET, HEAD, POST 特定谓词。
正确修复:启用安全HTTP方法方法-apache
hzjhss的博客
09-03 608
原文链接:https://blog.youkuaiyun.com/BoZhihouci/article/details/116942082。当重启apache服务之后,再次构造OPTIONS方法会出现403错误,这样问题就解决了吗?这样一来,当出现存在的http方法时,apache也会打印如OPTIONS的作用一样的信息。怀着好奇的心思,恢复了apache默认配置,仍然是这个问题。重启服务之后再次验证,http方法果然减少,但还是有TRACE方法存在,再次测试,此时已全部解决,如有疑问,可以留言,我们继续讨论。
【漏洞修复】检测到目标URL启用安全HTTP方法
LIARRR的博客
04-20 2192
检测到目标Web服务器配置成允许下列其中一个(或多个)HTTP 方法OPTIONS,DELETE, SEARCH,COPY,MOVE, PROPFIND, PROPPATCH, MKCOL ,LOCK ,UNLOCK。这些方法表示可能在服务器上使用了 WebDAV。由于dav方法允许客户端操纵服务器上的文件,如果没有合理配置dav,有可能允许授权的用户对其进行利用,修改服务器上的文件。
[安全]检测出项目内的安全漏洞,如启用安全HTTP方法,会话Cookie中缺少某某属性等
PerryHsu的博客
07-04 1961
目录 1.启用安全HTTP方法 2.开启OPTIONS方法 3.错误页面Web应用服务器版本泄露 4.X-Frame-Options Header配置 5.会话Cookie中缺少secure/HttpOnly属性 6.敏感目录 前段时间收到了第三方发过来的网站安全评估报告,发现我所管理的很多项目有各种漏洞,总结下来如下,做个笔记以便后续自己写项目时注意避免和修正,...
启用安全HTTP方法解决方案
weixin_30448603的博客
07-26 601
启用安全HTTP方法解决方案 Web AppScan HTTP WebDAV 近期通过APPScan扫描程序,发现了安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。 1.启用安全HTTP方法 问题是这样描述的: 检查原始测试响应的“Allow”头,并验证是否包含下列一个或多个需要的选项:DELTE,SEARCE,COPY,M...
检测到目标服务器启用options方法(漏洞)
热门推荐
wangsaisoon的博客
03-11 2万+
转自:[轻微]WEB服务器启用OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat禁用安全http方法 第一步:修改应用程序的web.xml文件的协议 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;web-app version="2.5" xmlns="http://java....
启用安全的“optionshttp 方法
08-15
对于启用安全的 "OPTIONS" HTTP 方法,这可能会导致一些安全风险。 "OPTIONS" 方法通常用于客户端向服务器查询其支持的请求方法列表。然而,由于其安全性,许多开发人员选择禁用或限制此方法。 如果你的应用程序启用安全的 "OPTIONS" 方法,攻击者可能会利用该漏洞来获取有关服务器的敏感信息,例如支持的其他请求方法、目标应用程序的架构等。攻击者还可以使用 "OPTIONS" 方法来探测服务器上的任何其他潜在漏洞。 为了解决这个问题,你可以在服务器配置禁用或限制 "OPTIONS" 方法。具体的实现方法取决于你使用的服务器软件和框架。例如,对于 Apache 服务器,你可以通过修改 .htaccess 文件或配置文件来禁用 OPTIONS 方法。 另外,确保你的应用程序在处理 HTTP 请求时进行了适当的输入验证和过滤,以防止任何潜在的攻击。这包括验证和过滤请求中的参数、路径和标头,以防止恶意输入。 总之,禁用或限制安全的 "OPTIONS" 方法可以提高你的应用程序的安全性,并减少潜在攻击的风险。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值