启用了不安全的HTTP方法解决办法 IBM APPSCAN
http://www.bubuko.com/infodetail-440685.html
安全风险:
可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。
可能原因:
Web 服务器或应用程序服务器是以不安全的方式配置的。
修订建议:
如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。
方法简介:
除标准的GET和POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法:
| PUT | 向指定的目录上载文件 |
| DELETE | 删除指定的资源 |
| COPY | 将指定的资源复制到Destination消息头指定的位置 |
| MOVE | 将指定的资源移动到Destination消息头指定的位置 |
| SEARCH | 在一个目录路径中搜索资源 |
| PROPFIND | 获取与指定资源有关的信息,如作者、大小与内容类型 |
| TRACE | 在响应中返回服务器收到的原始请求 |
渗透测试步骤:
使用OPTIONS方法列出服务器使用的HTTP方法。注意,不同目录中激活的方法可能各不相同。
许多时候,被告知一些方法有效,但实际上它们并不能使用。有时,即使OPTIONS请求返回的响应中没有列出某个方法,但该方法仍然可用。
手动测试每一个方法,确认其是否可用。
使用curl测试:
curl -v -X OPTIONS http://www.example.com/test/
查看响应的 Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
curl -v -T test.html http://www.example.com/test/test.html
看是否能上载来判断攻击是否生效。
找一个存在的页面,如test2.html
curl -X DELETE http://www.example.com/test/test2.html
如果删除成功,则攻击有效。
解决方案:
如tomcat,配置web.xml
<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效,如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效
相关推荐
7. **安全性**:Tomcat的安全性是至关重要的,应配置SSL/TLS以加密通信,限制远程管理接口的访问,并定期更新到最新安全补丁以防止已知漏洞的攻击。 8. **应用部署**:`.war`文件是Java Web应用程序的标准打包格式...
4. 应用安全:定期更新Tomcat版本,修复已知漏洞,确保服务器安全。 六、故障排查 当遇到问题时,可以查看错误日志、访问日志,或者使用JMX进行远程诊断。如果问题复杂,还可以启用JVM的调试模式,配合IDE进行调试...
在IT领域,Linux服务器部署是基础且重要的环节,特别是在web服务方面。Apache Tomcat是一款广泛使用的开源Java Servlet容器,它实现了Java EE的Web应用程序部分,...此外,定期更新Tomcat到最新版本以防止安全漏洞。
3. 定期更新Tomcat到最新版本,以修补安全漏洞。 **监控与优化:** 1. 使用Tomcat提供的JMX(Java Management Extensions)进行远程监控。 2. 调整`conf/catalina.properties`中的`maxThreads`和`minSpareThreads`...
这个特定的版本8.5.64是一个维护版本,修复了前一版本中发现的安全漏洞和其他问题,以确保更好的性能和安全性。 2. **Windows安装**:Tomcat在Windows平台上提供了直观的安装流程。解压zip文件后,你可以将"apache-...
3. 定期更新Tomcat到最新版本,修复可能的安全漏洞。 此外,监控和日志记录也是关键。Tomcat的日志文件位于`logs`目录下,通过分析这些文件,你可以追踪服务器性能和错误信息。 总结来说,Apache Tomcat 9.0.37是...
这个版本,8.5.42,是一个稳定版,提供了许多增强的功能和修复了安全及性能相关的漏洞。在Linux环境下,Apache Tomcat是部署Java Web应用的常用选择,因为它的轻量级、高效且易于配置。 首先,我们来详细了解一下...
Tomcat 8.5.35版本修复了一些已知的安全漏洞和性能问题,提升了稳定性和兼容性。对于开发者来说,它支持最新的Java EE 8规范,包括WebSocket、JSP 2.3、EL 3.0等特性。 在部署Web应用时,可以将WAR文件直接放在`...
综上所述,"apache-tomcat-7.0.63.tar.gz"是一个包含了Apache Tomcat服务器的压缩文件,它的使用涉及到解压、安装、配置、启动、管理、开发、部署、安全以及性能优化等多个方面,是Java Web开发不可或缺的一部分。
此外,Tomcat 6.0.53是较旧的版本,可能存在安全漏洞。因此,强烈建议保持Tomcat及其依赖项的更新,以确保系统的安全性。 总之,Apache Tomcat 6.0.53是一个用于部署和运行Java Web应用程序的服务器,通过在Linux...
在安全性方面,Tomcat 8.5.32修复了多个安全漏洞,包括跨站脚本攻击(XSS)、跨站请求伪造(CSRF)和远程代码执行等问题。因此,保持Tomcat版本的更新对于维护系统安全至关重要。 总的来说,Apache Tomcat 8.5.32是...
Tomcat 8.5.51的安全版本意味着它包含了最新的安全补丁,修复了之前版本中的已知安全漏洞。这对于任何生产环境来说都是至关重要的,因为它可以帮助防止恶意攻击者利用这些漏洞对服务器进行攻击。 4. **部署与配置*...
5. **安全性**:9.0.55版本中,Tomcat通常会提供最新的安全补丁,以防止已知的安全漏洞。用户需要确保`conf/tomcat-users.xml`文件中配置了合适的用户角色和权限,以实现基本的身份验证和授权。 6. **部署Web应用**...
对于开发者来说,Tomcat 8.5.69提供了丰富的API和工具,如JMX(Java Management Extensions)用于监控和管理服务器状态,以及 Catalina、Coyote和 Jasper等核心组件,它们分别处理Servlet容器、HTTP协议处理和JSP...
2. **配置安全管理器**:启用并配置`conf/tomcat-users.xml`中的用户和角色,限制未授权访问。 3. **保护`manager`和`host-manager`应用**:默认情况下,这两个应用对所有用户开放,需设置访问权限。 4. **使用HTTPS...
在Tomcat 8.5.81中,开发者修复了多个安全漏洞,以防止恶意攻击。例如,通过更新SSL/TLS配置,可以启用更强的加密算法,以保护数据传输的安全。此外,还可以通过修改`server.xml`中的配置来限制远程访问,仅允许特定...
- 定期更新Tomcat以修复安全漏洞。 **监控与优化:** - 使用JMX(Java Management Extensions)监控Tomcat的运行状态,可以监控线程、内存、JVM等指标。 - 配置`logging.properties`文件来调整日志级别,便于故障...
1. **Tomcat 9.0.x版本**: Tomcat 9是基于Java EE 8标准的,这意味着它支持最新的Java服务器端技术,如Servlet 4.0、JSP 2.3和EL 3.0。这些更新带来了性能改进和新特性,例如HTTP/2支持、WebSocket API增强以及对TLS...
Apache Tomcat 9.0.74 是一个广泛使用的开源软件,它是一个实现了Java Servlet、JavaServer Pages(JSP)和Java EE的Web应用程序容器。这个版本是专门为Windows x64平台设计的,确保在64位操作系统上高效运行。在...
- 定期更新Tomcat到最新安全版本,以防止已知漏洞被利用。 总之,Apache Tomcat 7.0.52在Windows环境下提供了便捷的Java Web应用运行平台。理解其工作原理和配置方法,能够帮助开发者快速部署和调试应用,同时也为...