`
guohf
  • 浏览: 417896 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

启用了不安全的HTTP方法

    博客分类:
  • java
 
阅读更多

启用了不安全的HTTP方法

 
安全风险:
      可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。
可能原因:
      Web 服务器或应用程序服务器是以不安全的方式配置的。
修订建议:
      如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。
方法简介:
除标准的GET和POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法:
  PUT    向指定的目录上载文件
  DELETE   删除指定的资源
  COPY   将指定的资源复制到Destination消息头指定的位置
  MOVE   将指定的资源移动到Destination消息头指定的位置
  SEARCH   在一个目录路径中搜索资源
  PROPFIND   获取与指定资源有关的信息,如作者、大小与内容类型
  TRACE   在响应中返回服务器收到的原始请求
其中几个方法属于HTTP协议的WebDAV(Web-based Distributed Authoring and Versioning)扩展。
 
渗透测试步骤:
使用OPTIONS方法列出服务器使用的HTTP方法。注意,不同目录中激活的方法可能各不相同。
许多时候,被告知一些方法有效,但实际上它们并不能使用。有时,即使OPTIONS请求返回的响应中没有列出某个方法,但该方法仍然可用。
手动测试每一个方法,确认其是否可用。
 
使用curl测试:

curl --X OPTIONS http://www.example.com/test/

查看响应的 Allow: GET, HEAD, POST, PUTDELETE, OPTIONS

curl --T test.html  http://www.example.com/test/test.html

看是否能上载来判断攻击是否生效。
 
找一个存在的页面,如test2.html

curl -X DELETE http://www.example.com/test/test2.html

如果删除成功,则攻击有效。
 
解决方案:
如tomcat,配置web.xml

<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>

重启tomcat即可完成。
以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效,如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。
 
FROM:http://yingfangming.blog.163.com
分享到:
评论

相关推荐

    启用了不安全的http方法漏洞

    &lt;http-method&gt;PUT&lt;/http-method&gt; &lt;http-method&gt;DELETE&lt;/http-method&gt; &lt;http-method&gt;HEAD&lt;/http-method&gt; &lt;http-method&gt;OPTIONS&lt;/http-method&gt; &lt;http-method&gt;TRACE&lt;/http-method&gt; &lt;auth-method&gt;BASIC ...

    XX平台安全扫描问题解决方案.docx

    启用不安全HTTP方法也可能导致安全风险,如PUT、DELETE、HEAD、OPTIONS和TRACE等。这些方法在某些情况下可能被恶意利用。因此,应该在Web工程或服务器的`web.xml`中进行安全配置,禁止不必要的HTTP方法,例如: ```...

    关于HTTP协议禁用不常用方法漏洞的解决方案.docx

    虽然这些方法各有其用途,但在实际应用中某些方法并不常用,甚至可能带来安全隐患。例如,PUT和DELETE方法可以被用于修改或删除服务器上的资源,而TRACE方法则有可能泄露敏感信息。 #### 安全风险分析 1. **PUT和...

    nginx系列(十五)nginx下启用http_auth_basic

    本文将深入探讨如何在Nginx服务器上启用HTTP Basic Authentication,这是一种广泛使用的身份验证方法,用于保护网站资源的安全。HTTP Basic Authentication基于HTTP协议标准,简单且易于实施,但需要注意其安全性...

    oracle注入utl_http方法.doc

    Oracle 注入 utl_http 方法 Oracle 注入 utl_http 方法是指攻击者使用 Oracle 数据库的 UTL_HTTP 包来实现注入攻击的方法。...UTL_HTTP 方法是一种危险的攻击方法,需要采取有效的防御措施来保护系统安全。

    gitlab的简单配置文件,http/https/ssh启用

    对docker+gitlab运行gitlab服务的简单配置。 可选启动http/https/ssh。...这个配置没有启用redis,一些端口都是走默认端口,请注意。 docker的运行配置放在另一个.sh文件中,使用docker用户运行即可。

    Silverlight启用安全连接与WCF交互

    Message安全则关注消息内容的安全性,即使数据在不安全的网络上传输,也可以保证其完整性。对于自托管WCF服务,即服务运行在独立的应用程序进程中,我们可以通过配置Message安全来实现。 1. **配置WCF服务** 在...

    IBM http server 启用SSL

    同时,设置SSL相关参数,例如禁用不安全的SSL版本,并设置超时时间。 配置完成后,使用`bin/apachectl configtest`检查配置文件的正确性,然后通过`bin/startServer.sh`启动Websphere。在管理控制台中,你需要对...

    将用友通中不慎启用的模块反启用

    工具用途: 将用友通中不慎启用的模块反启用。 ...如果运行本工具的计算机不具备此环境,请在通网站(http: tong.ufida.com.cn)下载。安装《维护通》平台后会自动具备此环境,不需要再单独安装。

    Nginx配置http转https以及https访问http静态资源.docx

    其中,/位置用于配置网站的根目录,add_header指令用于添加Content-Security-Policy头,以便升级不安全的请求。proxy_pass指令用于将请求代理到http://www.xxx.com:8080/,以便访问静态资源。 在第二个server块中,...

    web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法

    因此,在不需要WebDAV功能或者希望增强服务器安全性的情况下,应该考虑禁用这些不必要的HTTP方法。 对于Tomcat服务器,禁用WebDAV或特定HTTP方法可以通过修改应用程序的`web.xml`配置文件来实现。以下是具体步骤: ...

    IIS上启用Gzip压缩(HTTP压缩)

    #### 在IIS中启用HTTP压缩 1. **配置HTTP压缩选项**:首先,在IIS管理器中,右键点击“网站”-&gt;“属性”,然后选择“服务”标签页。在此处勾选“压缩应用程序文件”和“压缩静态文件”选项,同时设置适当的“临时...

    SpringBoot 启用Https

    当应用同时支持HTTP和HTTPS时,出于安全考虑,需要将HTTP重定向到HTTPS,避免客户端连接到不安全的HTTP端口。这一步无法在`application.properties`中配置,因为不能同时配置两个connector。因此,需要以编程方式...

    安全扫描工具 AppScan9.0.3.7 破解版

    1、下载文件,安装AppScan_Std_9.0.3.7_Eval_Win .exe 2、安装完成以后安装9.0.3.7_iFix003-Update更新包 3、安装完更新包,将破解补丁LicenseProvider.dll和AppScanSDK.dll复制到安装路径下替换源文件

    在服务器上启用HTTP公钥固定扩展的教程.docx

    ### 在服务器上启用HTTP公钥固定扩展的...通过在Apache、NGINX和Lighttpd等服务器上启用HTTP公钥固定扩展,可以显著提高网站的安全性,减少中间人攻击的风险。正确理解和实施HPKP策略是提升网络安全的重要步骤之一。

    emqx安装包,老版本的,新的版本没有http监听器

    如果新版本中HTTP监听器作为独立插件存在,那么用户可以根据实际需要决定是否启用,这提供了更大的灵活性。 在安装和使用EMQX老版本时,你需要关注以下几点: 1. **系统兼容性**:确保你的操作系统支持EMQX的老...

    Web应用安全:HTTPCookie的缺点.pptx

    Cookie的安全属性(Secure标志)确保了只有在HTTPS连接中才会传输Cookie,防止在不安全的HTTP环境下暴露敏感信息。若Cookie缺失此属性,即使整个应用使用HTTPS,也可能在传输过程中被中间人攻击窃取。为防止这种...

    大华DAHUA_HTTP_API_协议规范.pdf

    在网络安全建议中,也提供了一些推荐操作,例如定期更新密码、修改缺省的HTTP和TCP服务端口、启用HTTPS/SSL加密传输等。这些操作可以帮助用户提高网络安全性,防止未授权访问和攻击。 在该规范中,还提供了一些前言...

Global site tag (gtag.js) - Google Analytics