关闭不安全的HTTP方法

最新推荐文章于 2023-01-04 11:50:03 发布
原创 最新推荐文章于 2023-01-04 11:50:03 发布 · 4.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 

在web.config--<configuration>--<system.webServer>节点内添加如下代码:
    <security>
      <requestFiltering>
        <verbs allowUnlisted="false">
          <add verb="GET" allowed="true"/>
          <add verb="POST" allowed="true"/>
          <add verb="HEAD" allowed="true"/>
        </verbs>
      </requestFiltering>
    </security>

以上代码只允许开启GET、POST和HEAD方法。

说明:allowUnlisted="false":拒绝未列出的谓词。
如何关闭http Methods中的Trace 提高安全意识
01-20
使用Nikto测试服务器,发现HTTP开启了trace方法。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决: 禁用这些方式。 在配置文件http.conf 添加 TraceEnable off 即可关闭
如何禁用安全http 关闭需要的HTTP方法
热门推荐
云加速
02-23 1万+
在使用http的时候,有一些是安全需要开启的,如何禁用安全http呢?关闭需要的HTTP用什么方法?下面云加速来给大家讲解下: windows 2008-2012: 请在wwwroot目录建立web.config,内容如下,如果文件已经存在,请添加红色部分
常见web中间件 HTTP 限制请求方法 配置
ilqgffvramusm2864的博客
06-04 1935
目录前言Nginx、OpenResty配置IIS 配置Tomcat、JBOSS配置WebLogic配置 前言 本文针对 IIS Tomcat Nginx Weblogic WebSphere Nginx、OpenResty配置 OpenResty 是一个 以 Nginx 为核心的 Web 开发平台,其配置与Nginx相同。方式如下 配置nginx.conf 在location 节点添加判断语句 server { location / { proxy_pass http://xxxx; #白名单:
各中间件禁用安全HTTP方法
02-10
各中间件禁用安全HTTP方法安全加固方法学习方法参考。
禁用安全http方式-转载
johnny_niu的博客
12-23 1179
网上搜了好多禁用http请求的方法,都是介绍tomcat容器下的相关配置,但是把web项目放到weblogic容器下会报错,无论如何也启动起来,费了一番功夫找到一篇文章,问题解决 初次使用Weblogic,因为之前是在Jboss或tomcat上部署的工程,运行正常,但是在weblogic上安装部署的时候,就出现了一个常见的问题:如下 <2014-1-7 下午02时43分15秒 CST> <Error> <J2EE> <BEA-160197> <Unab
Weblogic禁用TRACE和安全HTTP method方法,自定义501 403 404 500错误页面
08-23 2787
暂时未找到weblogic本身开启TRACE,以便用过滤器拦截需要的HTTP方法。 所以使用nginx反向代理实现。 Nginx关键配置: server { #部分省略 location /webroot{ #部分省略 #开启代理错误拦截 proxy_intercept_erro...
禁止tomcat安全HTTP请求方法并屏蔽tomcat默认的报错信息
06-03 4714
Tomcat版本 8.0.15 1、禁止tomcat安全HTTP请求方法 在 ./conf/web.xml 中 第一步:将<web-app>协议替换为:【此处协议有可能需要替换】 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" x.
浅谈“安全HTTP方法
→_→
05-22 2710
漏洞名称: 安全HTTP方法、危险的HTTP方法 描述: 安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 其他说明方式如图所示: 检测条件: 已知Web网站IP地址及Web访问端口 Web业务正常运行 检测方法: 点击“开始”-“运行”,输入cmd并回车,运行nc
精选资源
安全http方法、CSRF等漏洞修复问题
01-07
安全HTTP 方法、CSRF 等漏洞修复问题 在本文中,我们将讨论安全HTTP 方法、CSRF 漏洞等问题的修复方法。 一、敏感信息泄露 敏感信息泄露是指攻击者可以通过访问网站目录直接下载文件,进入别的网页,...
web安全—tomcat禁用WebDAV或者禁止需要的 HTTP 方法
09-30
因此,在需要WebDAV功能或者希望增强服务器安全性的情况下,应该考虑禁用这些必要的HTTP方法。 对于Tomcat服务器,禁用WebDAV或特定HTTP方法可以通过修改应用程序的`web.xml`配置文件来实现。以下是具体步骤: ...
网络安全HTTP流量异常请求分析与CTFHUB方法绕过:基于Wireshark和cURL的CTF竞赛解题技术
最新发布
05-14
③理解如何通过流量包分析找到并利用非标准HTTP方法获取目标数据。; 阅读建议:本文内容较为专业,建议读者先熟悉Wireshark、cURL等工具的基本用法,再逐步深入学习文章中的具体操作步骤。同时,在实践过程中注意...
禁用WebDAV-Tomcat(检测到目标URL启用了安全HTTP方法
zjxeastchi的博客
09-19 4316
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
TOMCAT关闭安全HTTP方法(PUT、DELETE、TRACE、OPTIONS等)
06-11 5285
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
处理weblogic、tomcat关闭安全http请求
Linuxprobe18的博客
08-24 2059
导读 安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 禁止安全http请求方式PUT、DELETE、HEAD、OPTIONS、TRACE等,只保留GET和POST请求。其中tomcat和weblogic部署解决方案都是在web.xml中添加配置文件,但格式有所差异,详情如下: Tom
HTTP 错误 403.6 - Forbidden 解决方案
weixin_30809173的博客
03-13 283
MSDN 的解决方案 原因 1 Ip 安全的 XML 元素的allowUnlisted属性的值为 false。此外,客户端计算机的 IP 地址在ip 安全XML 元素之下 IP 地址的列表中。IIS 拒绝来自未出现在ip 安全XML 元素之下 IP 地址的列表中的 IP 地址的所有请求。若要解决此问题,请参见解决方案 1。 解决方案: 在文本编辑器中,打开 Application...
TongWeb及应用系统安全加固
web的博客
03-31 1万+
前言 本文档主要面向运维人员说明常见的TongWeb5、TongWeb6、TongWeb7安全加固的配置方法。 TongWeb配置 一、首先建议TongWeb升级到最新版本,早期版本存在一些代码级安全漏洞,无法通过配置解决。截止2021年1月5日TongWeb最新版本号为7.0.4.2。 二、TongWeb禁用安全HTTP方法,可登录控制台,进入“http通道管理”进行设置。 TongWeb5禁用安全HTTP方法,需在应用的web.xml中增加如下内容,并重........
WEB漏洞-关闭安全HTTP方法
踮脚敲代码
12-19 7141
一.测试过程 通过手工测试,站点启动了安全HTTP方法漏洞,详细测试如下: OPTIONS /main/login HTTP/1.1 Host: xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language
asp.net mvc 安全测试漏洞 " HTTP 动词篡改的认证旁路" 问题解决
weixin_30532837的博客
04-18 752
IBM Security Appscan漏洞筛查-HTTP 动词篡改的认证旁路漏洞,具体解决方案: 在Web.Config中system.webServer节点增加配置security: <security> <requestFiltering> <verbs allowUnlisted="false"> ...
HTTP Debugger Pro使用教程
jysf98746的博客
01-04 9563
下载地址:http://upyun.ncmem.com/download/tools/HTTPDebuggerPro_cr.zip。下载地址:http://res2.ncmem.com/download/HttpDebuggerPro-v7.8.zip。比如在下面的记录中我们在本地测试,控件请求的地址是f_post.aspx,我们只查看这一条记录即可。2.监控器会记录所有网络数据,我们只查看与控件相关的网络数据,忽略相关的监控数据。如果控件有报错,可以在监控器中看到服务器返回的错误信息。
HTTP协议安全加固最佳实践指南
- **网络服务配置**:确保所有网络服务都使用最新的安全配置,例如,更改默认端口号、配置SSH密钥认证而是密码认证、关闭必要的HTTP方法等。 - **应用层安全**:安装和使用安全的编程实践,比如输入验证、使用...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值