启用了不安全的HTTP方法
安全风险:
可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。
可能原因:
Web 服务器或应用程序服务器是以不安全的方式配置的。
修订建议:
如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。
方法简介:
除标准的GET和POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法:
| PUT | 向指定的目录上载文件 |
| DELETE | 删除指定的资源 |
| COPY | 将指定的资源复制到Destination消息头指定的位置 |
| MOVE | 将指定的资源移动到Destination消息头指定的位置 |
| SEARCH | 在一个目录路径中搜索资源 |
| PROPFIND | 获取与指定资源有关的信息,如作者、大小与内容类型 |
| TRACE | 在响应中返回服务器收到的原始请求 |
渗透测试步骤:
使用OPTIONS方法列出服务器使用的HTTP方法。注意,不同目录中激活的方法可能各不相同。
许多时候,被告知一些方法有效,但实际上它们并不能使用。有时,即使OPTIONS请求返回的响应中没有列出某个方法,但该方法仍然可用。
手动测试每一个方法,确认其是否可用。
使用curl测试:
curl -v -X OPTIONS http://www.example.com/test/
查看响应的 Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
curl -v -T test.html http://www.example.com/test/test.html
看是否能上载来判断攻击是否生效。
找一个存在的页面,如test2.html
curl -X DELETE http://www.example.com/test/test2.html
如果删除成功,则攻击有效。
解决方案:
如tomcat,配置web.xml
<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效,如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。
FROM:http://yingfangming.blog.163.com
相关推荐
<http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> <auth-method>BASIC ...
启用不安全HTTP方法也可能导致安全风险,如PUT、DELETE、HEAD、OPTIONS和TRACE等。这些方法在某些情况下可能被恶意利用。因此,应该在Web工程或服务器的`web.xml`中进行安全配置,禁止不必要的HTTP方法,例如: ```...
虽然这些方法各有其用途,但在实际应用中某些方法并不常用,甚至可能带来安全隐患。例如,PUT和DELETE方法可以被用于修改或删除服务器上的资源,而TRACE方法则有可能泄露敏感信息。 #### 安全风险分析 1. **PUT和...
本文将深入探讨如何在Nginx服务器上启用HTTP Basic Authentication,这是一种广泛使用的身份验证方法,用于保护网站资源的安全。HTTP Basic Authentication基于HTTP协议标准,简单且易于实施,但需要注意其安全性...
Oracle 注入 utl_http 方法 Oracle 注入 utl_http 方法是指攻击者使用 Oracle 数据库的 UTL_HTTP 包来实现注入攻击的方法。...UTL_HTTP 方法是一种危险的攻击方法,需要采取有效的防御措施来保护系统安全。
对docker+gitlab运行gitlab服务的简单配置。 可选启动http/https/ssh。...这个配置没有启用redis,一些端口都是走默认端口,请注意。 docker的运行配置放在另一个.sh文件中,使用docker用户运行即可。
Message安全则关注消息内容的安全性,即使数据在不安全的网络上传输,也可以保证其完整性。对于自托管WCF服务,即服务运行在独立的应用程序进程中,我们可以通过配置Message安全来实现。 1. **配置WCF服务** 在...
同时,设置SSL相关参数,例如禁用不安全的SSL版本,并设置超时时间。 配置完成后,使用`bin/apachectl configtest`检查配置文件的正确性,然后通过`bin/startServer.sh`启动Websphere。在管理控制台中,你需要对...
工具用途: 将用友通中不慎启用的模块反启用。 ...如果运行本工具的计算机不具备此环境,请在通网站(http: tong.ufida.com.cn)下载。安装《维护通》平台后会自动具备此环境,不需要再单独安装。
其中,/位置用于配置网站的根目录,add_header指令用于添加Content-Security-Policy头,以便升级不安全的请求。proxy_pass指令用于将请求代理到http://www.xxx.com:8080/,以便访问静态资源。 在第二个server块中,...
因此,在不需要WebDAV功能或者希望增强服务器安全性的情况下,应该考虑禁用这些不必要的HTTP方法。 对于Tomcat服务器,禁用WebDAV或特定HTTP方法可以通过修改应用程序的`web.xml`配置文件来实现。以下是具体步骤: ...
#### 在IIS中启用HTTP压缩 1. **配置HTTP压缩选项**:首先,在IIS管理器中,右键点击“网站”->“属性”,然后选择“服务”标签页。在此处勾选“压缩应用程序文件”和“压缩静态文件”选项,同时设置适当的“临时...
当应用同时支持HTTP和HTTPS时,出于安全考虑,需要将HTTP重定向到HTTPS,避免客户端连接到不安全的HTTP端口。这一步无法在`application.properties`中配置,因为不能同时配置两个connector。因此,需要以编程方式...
1、下载文件,安装AppScan_Std_9.0.3.7_Eval_Win .exe 2、安装完成以后安装9.0.3.7_iFix003-Update更新包 3、安装完更新包,将破解补丁LicenseProvider.dll和AppScanSDK.dll复制到安装路径下替换源文件
### 在服务器上启用HTTP公钥固定扩展的...通过在Apache、NGINX和Lighttpd等服务器上启用HTTP公钥固定扩展,可以显著提高网站的安全性,减少中间人攻击的风险。正确理解和实施HPKP策略是提升网络安全的重要步骤之一。
如果新版本中HTTP监听器作为独立插件存在,那么用户可以根据实际需要决定是否启用,这提供了更大的灵活性。 在安装和使用EMQX老版本时,你需要关注以下几点: 1. **系统兼容性**:确保你的操作系统支持EMQX的老...
Cookie的安全属性(Secure标志)确保了只有在HTTPS连接中才会传输Cookie,防止在不安全的HTTP环境下暴露敏感信息。若Cookie缺失此属性,即使整个应用使用HTTPS,也可能在传输过程中被中间人攻击窃取。为防止这种...
在网络安全建议中,也提供了一些推荐操作,例如定期更新密码、修改缺省的HTTP和TCP服务端口、启用HTTPS/SSL加密传输等。这些操作可以帮助用户提高网络安全性,防止未授权访问和攻击。 在该规范中,还提供了一些前言...