漏洞修复:检测到目标服务器启用了OPTIONS方法

已于 2025-03-26 12:33:33 修改
阅读量2.3k 收藏
点赞数 3
文章标签: 安全漏洞 信息安全 安全
于 2024-07-01 21:07:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yjfkeifk/article/details/140110072
版权

IIS+asp.net网站,使用绿盟和苔也免费安全检测测到这个,具体显示的漏洞是:

详细描述OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感信息,这些信息将帮助攻击者准备更进一步的攻击。解决办法 建议禁用web服务器上的options方法。

漏洞修复方法,在web.config里写入:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
   <security>
      <requestFiltering>
        <verbs allowUnlisted="true">
          <add verb="OPTIONS" allowed="false"/>
        </verbs>
      </requestFiltering>
    </security>
  </system.webServer>
</configuration>

即可解决此问题 。

漏洞修复: Web服务器限制只允许通过GET/POST请求
Bertram的博客
05-25 2223
http请求中的8种请求方法 1、opions 返回服务器针对特定资源所支持的HTML请求方法 或web服务器发送测试服务器功能(允许客户端查看服务器性能) 2、Get 向特定资源发出请求(请求指定页面信息,并返回实体主体) 3、Post 向指定资源提交数据进行处理请求(提交表单、上传文件),又可能导致新的资源的建立或原有资源的修改 4、Put 向指定资源位置上上传其最新内容(从客户端向服务器传送的数据取代指定文档的内容) 5、Head 与服务器索与get请求一致的相应,响应体不会返回,获取包含在小消息头
禁用WebDAV-Tomcat(检测目标URL启用了不安全的HTTP方法
zjxeastchi的博客
09-19 4174
禁用WebDAV-Tomcat0.问题说明1)HTTP方法说明2)绿盟扫描说明1. Tomcat版本说明2. 修复方案——修改tomcat的web.xml文件1)encoding改为UTF-81)web-app标签属性修改3)添加方法拦截代码3)添加/修改readonly属性4)保存文件,重启tomcat3.Postman验证1)使用GET请求访问首页2)使用Options方法访问首页3)head...
通过options探测服务器信息,WEB服务器启用OPTIONS方法
weixin_30843553的博客
08-10 2244
漏洞描述攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法:windows2008、windows2012,请在wwwroot目录建立web.config,内容如下windows 2003,打开控制面板-ISAPI筛选器-启用自定义重写组件,然后编辑httpd.conf,如果您已有其他规则,请添加到最上面RewriteEngine on...
web 禁用 OPTIONS方法启用【原理扫描】
tone1128的博客
07-13 983
Web服务器启用了HTTP OPTIONS方法OPTIONS方法提供了Web服务器支持的方法列表,它表示对有关由Request-URI标识的请求/响应链上可用的通信选项的信息的请求。
HTTP协议中的OPTIONS
最新发布
Senkorl blog
04-07 189
OPTIONS方法主要用于客户端在执行请求前探测服务器支持的能力或设置。它是实现跨域请求处理的重要部分,尤其在现代Web应用中非常常见。
启用了不安全的http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
检测目标服务器启用OPTIONS方法
努力明天会更好的博客
06-08 5954
添加个拦截器,即可解决 public class ConfigInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { // 解决安全漏洞检测目标服务器启用OPTIONS方法 response.setHe
检测目标服务器启用options方法漏洞
热门推荐
wangsaisoon的博客
03-11 2万+
转自:[轻微]WEB服务器启用OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法 第一步:修改应用程序的web.xml文件的协议 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;web-app version="2.5" xmlns="http://java....
目标服务器开启了不安全的HTTP方法OPTIONS方法
wxd110119120的专栏
03-08 6951
产生原因: 未对OPTIONS进行禁用处理。 解决办法: 对IIS管理器中的 功能视图》授权规则 设置了只允许GET, HEAD, POST 特定谓词。
Apache WEB服务器启用OPTIONS方法
安素
06-28 7801
使用Apache的重写规则来禁用Options方法和Trace方法在Apache配置文件httpd.conf中添加以下代码:单独禁用Trace方法:RewriteEngine On RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F]单独禁用Options方法:RewriteEngine On RewriteCond %...
安全的http方法、CSRF等漏洞修复问题
01-07
安全的 HTTP 方法、CSRF 等漏洞修复问题 在本文中,我们将讨论不安全的 HTTP 方法、CSRF 漏洞等问题的修复方法。 一、敏感信息泄露 敏感信息泄露是指攻击者可以通过访问网站目录直接下载文件,进入别的网页,...
【紧急更新】OpenSSL 3.3.2安全漏洞修复:关键改进深度剖析
[【紧急更新】OpenSSL 3.3.2安全漏洞修复:关键改进深度剖析](https://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2015/03/openssl.png?fit=960%2C564&ssl=1) # 摘要 OpenSSL是一个广泛使用的开源...
织梦网站服务器 开启服务,WEB服务器启用OPTIONS方法
weixin_32137855的博客
08-11 459
漏洞名称:WEB服务器启用OPTIONS方法危险等级:★☆☆☆☆(轻危)漏洞类型:配置错误披露时间:2015-09-14漏洞描述:攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法:windows2008、windows2012,请在wwwroot目录建立web.config,内容如下windows 2003,打开控制面板-ISAPI...
OPTIONS 漏洞修复
Z
12-22 8135
OPTIONS 漏洞修复。主要包括三种情况:更改 Nginx 配置、更改 Tomcat 配置、SpringBoot 项目增加过滤器。
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法漏洞修复
LENGTH18的博客
08-27 4513
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
linux禁用options方法,WEB服务器启用OPTIONS方法(轻微漏洞修补方法
weixin_28829339的博客
05-13 1260
发现时间:2015-09-14020漏洞类型:配置错误020所属建站程序:其他020所属服务器类型:通用020所属编程语言:其他020描述:目标WEB服务器启用OPTIONS方法。020危害:攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。020解决方案:修改配置文件禁用options方法windows 2008-2012:请在wwwroot目录建立web.config,内容...
[轻微]WEB服务器启用OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
QC班长的博客
06-10 1万+
使用了360网站安全检测 查到有OPTIONS方法 第一步:修改应用程序的web.xml文件的协议 xml version="1.0" encoding="UTF-8"?> web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema
【SpringBoot项目中禁用OPTIONS请求方法修复启用OPTIONS方法漏洞
ZQL666123的博客
10-20 3463
SpringBoot项目中禁用OPTIONS请求方法修复启用OPTIONS方法漏洞漏洞扫描时修复漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值