启用不安全的HTTP方法解决方案
啟用不安全的HTTP方法解決方案
Web AppScan HTTP WebDAV近期通過APPScan掃描程序,發現了不少安全問題,通過大量查閱和嘗試最終還是解決掉了,于是整理了一下方便查閱。
1.啟用了不安全的HTTP方法
問題是這樣描述的:
檢查原始測試響應的“Allow”頭,并驗證是否包含下列一個或多個不需要的選項:DELTE,SEARCE,COPY,MOVE,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK,PUT。
響應頭信息如下:
我們首先了解一下這幾個方法的由來:HTTP1.0定義了三種請求方法: GET, POST 和 HEAD方法;HTTP1.1新增了五種請求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。
WebDAV完全采用了HTTP1.1的方法,擴展了一些方法,并擴展了一些其他方法:
-
Options、Head、Trace:主要由應用程序來發現和跟蹤服務器支持和網絡行為;
-
Get:檢索文檔;
-
Put和Post:將文檔提交到服務器;
-
Delete:銷毀資源或集合;
-
Mkcol:創建集合
-
PropFind和PropPatch:針對資源和集合檢索和設置屬性;
-
Copy和Move:管理命名空間上下文中的集合和資源;
-
Lock和Unlock:改寫保護
很顯然上述操作明細可以對web服務器進行上傳、修改、刪除等操作,對服務造成威脅。雖然WebDAV有權限控制但是網上一搜還是一大堆的攻擊方法,所以如果不需要這些方法還是建議直接屏蔽就好了。
下面就來詳細說一下解決方案:
最簡單的方式就是修改WEB應用的web.xml部署文件。在里面插入下面幾行代碼就搞定了,把需要屏蔽的方法加在里面。如果應用包比較多也沒必要一個個改,直接修改Tomcat的web.xml就可以了,這樣在Tomcat中運行的實例都會有效。
-
<security-constraint>用于限制對資源的訪問;
-
<auth-constraint>用于限制那些角色可以訪問資源,這里設置為空就是禁止所有角色用戶訪問;
-
<url-pattern>指定需要驗證的資源
-
<http-method>指定那些方法需要驗證
重啟服務再驗證就不會存在這個問題了。
轉載于:https://www.cnblogs.com/xlyslr/p/5707995.html
總結
以上是生活随笔為你收集整理的启用不安全的HTTP方法解决方案的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 精品文章收藏
- 下一篇: Linux系统编程25:基础IO之亲自实