解决安全扫描Insecure HTTP Methods Enabled的问题

最新推荐文章于 2024-03-13 09:54:10 发布
最新推荐文章于 2024-03-13 09:54:10 发布
阅读量502 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 测试 java web.xml
原文链接:http://www.cnblogs.com/Mainz/archive/2012/11/19/2777679.html
本文介绍了如何在CentOS上部署使用SpringMVC的Java网站并配置HTTPS/SSL8443端口后,通过设置web.xml文件来解决InsecureHTTPMethodsEnabled漏洞,避免上传、修改或删除网页、脚本和文件的风险。

今天把Spring MVC的Java网站部署到CentOS上,并且设置了https/ssl 8443端口,然后用IBM Rational AppScan进行安全扫描,发现一个漏洞:Insecure HTTP Methods Enabled. 原因是Tomcat支持的http命令中包含DELETE、OPTIONS、PUT、HEAD和TRACE这五条命令。

 

 漏洞描述和建议:

Insecure HTTP Methods Enabled

Severity:  Medium
Type: Infrastructure test
WASC Threat Classification: Client-side Attacks: Content Spoofing
CVE Reference(s): N/A
Security Risk: It is possible to upload, modify or delete web pages, scripts and files on the web server

Fix Recommendation
If you do not need WebDAV enabled on your server, make sure that you either disable it, or disallow HTTP methods (verbs) that are unneeded.

 

解决办法

参考了这个帖子,但小题大做了,只需修改网站的web.xml添加下面的内容即可。

< security-constraint >
      < web-resource-collection >
           < web-resource-name >DisableUnsecureHttpActions </ web-resource-name >
           < url-pattern >/* </ url-pattern >
           < http-method >DELETE </ http-method >
           < http-method >PUT </ http-method >
           < http-method >HEAD </ http-method >
           < http-method >TRACE </ http-method >
           < http-method >OPTIONS </ http-method >
      </ web-resource-collection >
      < auth-constraint >
         < role-name >NotExistingRole </ role-name >
      </ auth-constraint >
      < user-data-constraint >
         < transport-guarantee >NONE </ transport-guarantee >
      </ user-data-constraint >
  </ security-constraint >

有关Security-constraint的理解,可以参考这个帖子。

作者的其它相关文章

转载于:https://www.cnblogs.com/Mainz/archive/2012/11/19/2777679.html

hadoop配置文件详解系列(二)-hdfs-site.xml
关于代码的那些事
03-09 2824
上一篇介绍了core-site.xml的配置,本篇继续介绍hdfs-site.xml的配置。 属性名称 属性值 描述 hadoop.hdfs.configuration.version 1 配置文件的版本 dfs.namenode.rpc-address   处理所有客户端请求的RPC地址,若在HA场景中,可能有多个namenode,就把名称ID添加到进来。该属性的格式为nn-host1:rpc-port。 d
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
OPTIONS 漏洞修复
Z
12-22 8579
OPTIONS 漏洞修复。主要包括三种情况:更改 Nginx 配置、更改 Tomcat 配置、SpringBoot 项目增加过滤器。
Node.js v12.16.2 的命令行选项(Command Line Options)允许用户定制运行时环境的行为
BLOG域名:programb.blog.youkuaiyun.com
04-16 1846
Node.js v12.16.2 的命令行选项(Command Line Options)允许用户定制运行时环境的行为。其中一项重要的选项是。这个选项设置默认为,这是从Node.js 12.x版本开始的标准。然而,这个选项的存在是为了向后兼容旧版的Node.js,允许用户强制使用更安全的TLS版本1.3,即使在那些不自动升级到最新标准的环境中。具体来说,如果你想要在启动Node.js时指定这个选项,你可以这样操作: 这会确保你的脚本在连接到支持TLS 1.3的服务器时能获得最佳安全性。Node.js 提供了
检测http方法是否开启put方法
weixin_33709609的博客
03-13 2157
安装如下httpRequester插件 检测方法如下: 进入插件  
小记一次网站应用漏洞扫描--启动了不安全的HTTP方法(Insecure HTTP Method)及其解决方案
小菜鸟的HelloWorld
01-05 2886
漏洞编号:c*********031834878bbfe891144574 漏洞等级:中危 漏洞状态:未修复 发现时间 : 2018/01/04 21:00:43 GMT+08:00 漏洞类型:不安全方法 所属域名:*******.cn URL:http://*********** 漏洞简介 攻击者可以使用OPTIONS和Trace方法来枚举服务
【kali】34 WEB渗透——扫描工具w3af_console
(∪.∪ )...zzz的博客
12-07 6510
这里写自定义目录标题一、简介1.plugin2. kali 安装w3af[问题解决]二、 操作1. 启动帮助2.plugins模块开启三个插件模块扫描所有插件模块3. profiles 模块4.http-settings 模块5.misc-settings (杂项设置)模块6.target 模块7.启动8.脚本 w3af_console 一、简介 web扫描框架(开源、不断添加 集成exploit模块 1.plugin audit(审计):该类插件会向Crawl插件爬取出的注入点发送特制的POC数据以
Kali linux 学习笔记(四十一)Web渗透——扫描工具之w3af 2020.3.18
闵行小鱼塘
03-18 1576
扫描工具之w3af
解决安全测试输掉 提示 OPTIONS method is enabled
coding
10-08 7487
Acunetix Web Vulnerability Scanner 8扫描出了很多系统漏洞,诸如SQL注入、脚本注入、OPTIONS method is enabled 、Session Cookie without HttpOnly flag set、之类的漏洞。 一开始找了很多办法将前面几个漏洞都处理了。最后剩下OPTIONS method is enabled这个老大难。万般
Spring MVC过滤器-HiddenHttpMethodFilter
孤云博客
08-10 1630
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 from:https://blog.csdn.net/geloin/article/details/7444321 浏览器form表单只支持GET与POST请求,而DELETE、PUT等method并不支持,s...
HTTP的请求方法OPTIONS
热门推荐
Linlei的专栏
03-28 15万+
HTTP请求方法并不是只有GET和POST,只是最常用的。据RFC2616标准(现行的HTTP/1.1)得知,通常有以下8种方法:OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE和CONNECT。 官方定义 OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户端可以在采取具体资源
InsecureRequestWarning警告:InsecureRequestWarning: Unverified HTTPS request is being made to host
fen_fen的专栏
03-13 6768
InsecureRequestWarning警告:InsecureRequestWarning: Unverified HTTPS request is being made to host
flutter 报错 DioError [DioErrorType.DEFAULT]: Bad state: Insecure HTTP is not allowed by platform
新技术革命
05-08 1036
lutter 报错 DioError [DioErrorType.DEFAULT]: Bad state: Insecure HTTP is not allowed by platform 错误解释 平台不支持不安全的 HTTP 协议,即不允许访问 HTTP 域名的地址。 产生原因 IOS 和 Android 9.0 对网络请求做了一些限制,不能直接访问 Http 域名的地址。 解决方案 通过配置让我们的项目允许不加密的请求 Android 配置 1. 为android 的清单文件 Andr..
AppScan扫描启用了不安全的“OPTIONS”HTTP 方法
liudoyang的博客
12-26 3994
**服务器禁止不需要的 HTTP 方法## ** 目前项目进行交付时,测试方给到一个安全检测报告。其中有一个问题是:启用了不安全的“OPTIONS”HTTP 方法。给到的建议是禁用 WebDAV,或者禁止不需要的 HTTP 方法。由于测试服务器是Tomcat,而线上服务器为websphere,在网上找了许多资源,始终都是Tomcat的解决办法。现在记录一下websphere解决问题思路,给使用we...
启用 HTTP TRACE 方法
走马观花
04-11 1万+
http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/zh_CN/HTML/am51_webseal_guide32.htm RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(loopback)。请求的接收方是源服务器或第一个代理或接收请求中零(0)Max-Forwards
HTTP Methods
weixin_30780649的博客
03-25 392
简介   HTTP 定义了一组请求方法,以表明要对给定资源执行的操作。指示针对给定资源要执行的期望动作, 虽然他们也可以是名词,但这些请求方法有时被称为HTTP动词。每一个请求方法都实现了不同的语义,但一些共同的特征由一组共享。 方法 说明 GET GET方法请求一个指定资源的表示形式. 使用GET的请求应该只被用于获取数据。 HEAD HEAD方法请求一...
配置Insecure Docker Registry支持http请求 (更改默认的https请求)
scruffybear的专栏
10-17 3446
本文记录了如何配置`Insecure http docker registry`,也就是使用`http`请求 (更改默认的https请求)`Docker Registry`仓库。
Flutter 报错: Insecure HTTP is not allowed by platform 的解决办法
荷鹤赫
03-25 1279
Android端 打开android/app/src/main/AndroidManifest.xml这个文件 然后找到: <application android:name="io.flutter.app.FlutterApplication" android:label="flutter_demo" android:icon="@mipmap/ic_launcher"> 这几行代码, 改成 <uses-permissio
IDE安全扫描插件linter
最新发布
03-16
用户的问题集中在安全扫描的linter插件,所以我需要确保推荐的工具符合安全扫描的需求,而不仅仅是普通的代码风格检查。 首先,我应该明确linter的作用,尤其是安全方面的。常见的linter如ESLint、TSLint(已弃用,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值