启用不安全的HTTP方法解决方案
啟用不安全的HTTP方法解決方案
Web AppScan HTTP WebDAV近期通過APPScan掃描程序,發(fā)現(xiàn)了不少安全問題,通過大量查閱和嘗試最終還是解決掉了,于是整理了一下方便查閱。
1.啟用了不安全的HTTP方法
問題是這樣描述的:
檢查原始測試響應(yīng)的“Allow”頭,并驗(yàn)證是否包含下列一個或多個不需要的選項(xiàng):DELTE,SEARCE,COPY,MOVE,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK,PUT。
響應(yīng)頭信息如下:
我們首先了解一下這幾個方法的由來:HTTP1.0定義了三種請求方法: GET, POST 和 HEAD方法;HTTP1.1新增了五種請求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。
WebDAV完全采用了HTTP1.1的方法,擴(kuò)展了一些方法,并擴(kuò)展了一些其他方法:
-
Options、Head、Trace:主要由應(yīng)用程序來發(fā)現(xiàn)和跟蹤服務(wù)器支持和網(wǎng)絡(luò)行為;
-
Get:檢索文檔;
-
Put和Post:將文檔提交到服務(wù)器;
-
Delete:銷毀資源或集合;
-
Mkcol:創(chuàng)建集合
-
PropFind和PropPatch:針對資源和集合檢索和設(shè)置屬性;
-
Copy和Move:管理命名空間上下文中的集合和資源;
-
Lock和Unlock:改寫保護(hù)
很顯然上述操作明細(xì)可以對web服務(wù)器進(jìn)行上傳、修改、刪除等操作,對服務(wù)造成威脅。雖然WebDAV有權(quán)限控制但是網(wǎng)上一搜還是一大堆的攻擊方法,所以如果不需要這些方法還是建議直接屏蔽就好了。
下面就來詳細(xì)說一下解決方案:
最簡單的方式就是修改WEB應(yīng)用的web.xml部署文件。在里面插入下面幾行代碼就搞定了,把需要屏蔽的方法加在里面。如果應(yīng)用包比較多也沒必要一個個改,直接修改Tomcat的web.xml就可以了,這樣在Tomcat中運(yùn)行的實(shí)例都會有效。
-
<security-constraint>用于限制對資源的訪問;
-
<auth-constraint>用于限制那些角色可以訪問資源,這里設(shè)置為空就是禁止所有角色用戶訪問;
-
<url-pattern>指定需要驗(yàn)證的資源
-
<http-method>指定那些方法需要驗(yàn)證
重啟服務(wù)再驗(yàn)證就不會存在這個問題了。
轉(zhuǎn)載于:https://www.cnblogs.com/xlyslr/p/5707995.html
總結(jié)
以上是生活随笔為你收集整理的启用不安全的HTTP方法解决方案的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 精品文章收藏
- 下一篇: 伪类的使用之如何在一段文字前面添加一个点