启用了不安全的HTTP方法
安全风险:
可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。
可能原因:
Web 服务器或应用程序服务器是以不安全的方式配置的。
修订建议:
如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。
方法简介:
除标准的GET和POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法:
PUT | 向指定的目录上载文件 |
DELETE | 删除指定的资源 |
COPY | 将指定的资源复制到Destination消息头指定的位置 |
MOVE | 将指定的资源移动到Destination消息头指定的位置 |
SEARCH | 在一个目录路径中搜索资源 |
PROPFIND | 获取与指定资源有关的信息,如作者、大小与内容类型 |
TRACE | 在响应中返回服务器收到的原始请求 |
渗透测试步骤:
使用OPTIONS方法列出服务器使用的HTTP方法。注意,不同目录中激活的方法可能各不相同。
许多时候,被告知一些方法有效,但实际上它们并不能使用。有时,即使OPTIONS请求返回的响应中没有列出某个方法,但该方法仍然可用。
手动测试每一个方法,确认其是否可用。
使用curl测试:
curl -v -X OPTIONS http://www.example.com/test/
查看响应的 Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
curl -v -T test.html http://www.example.com/test/test.html
看是否能上载来判断攻击是否生效。
找一个存在的页面,如test2.html
curl -X DELETE http://www.example.com/test/test2.html
如果删除成功,则攻击有效。
解决方案:
如tomcat,配置web.xml
<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效,如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。
FROM:http://yingfangming.blog.163.com
相关推荐
<http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> <auth-method>BASIC ...
对docker+gitlab运行gitlab服务的简单配置。 可选启动http/https/ssh。...这个配置没有启用redis,一些端口都是走默认端口,请注意。 docker的运行配置放在另一个.sh文件中,使用docker用户运行即可。
工具用途: 将用友通中不慎启用的模块反启用。 ...如果运行本工具的计算机不具备此环境,请在通网站(http: tong.ufida.com.cn)下载。安装《维护通》平台后会自动具备此环境,不需要再单独安装。
如何在ibm http server 中启用SSL,配置文档
IIS上启用Gzip压缩(HTTP压缩)
NULL 博文链接:https://phl.iteye.com/blog/2251771
在交换机上应用以下基本安全措施可确保交换机的安全,当然,事在人为,没有绝对安全的作法,以下是安全配置的基本方法步骤,基本功是要做的。请看理论,文档有详细的配置方法,是从思科教程里面整理出来的。 为设备...
在服务器上启用HTTP公钥固定扩展的教程.docx
使用Nikto测试服务器,发现HTTP开启了trace方法。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 ...
Openresty/Nginx默认是不支持http2的,需要将http2...这篇文章主要给大家介绍了关于在Nginx/Openresty中启用http2支持的方法教程,文中介绍的非常详细,对大家具有一的参考学习价值,需要的朋友们下面来一起看看吧。
1、下载文件,安装AppScan_Std_9.0.3.7_Eval_Win .exe 2、安装完成以后安装9.0.3.7_iFix003-Update更新包 3、安装完更新包,将破解补丁LicenseProvider.dll和AppScanSDK.dll复制到安装路径下替换源文件
实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制.详细请参考:http://blog.csdn.net/xiejx618/article/details/42739707
根据说法,HTTP 严格传输安全 (HSTS) 不仅可以强制加密会话,还可以阻止使用无效数字证书的攻击者,从而保护用户免受多种威胁,尤其是中间人攻击。 HTTP 严格传输安全 (HSTS) 是一种可选的安全增强功能,由 Web ...
在IIS6中启用HTTPCompression
三.HTTP压缩概述 HTTP压缩是在Web服务器和浏览器间传输压缩文本内容的方法。HTTP压缩采用通用的压缩算法如gzip等压缩HTML、JavaScript或CSS文件。压缩的最大好处就是降低了网络传输的数据量,从而提高客户端浏览器...
不能将 Devcon 用于 Microsoft Windows 95、Windows 98、或 Windows Millennium Edition。 下载:http://download.microsoft.com/download/1/1/f/11f7dd10-272d-4cd2-896f-9ce67f3e0240/devcon.exe 用法及参数说明...
在Win7系统下IIS7.0配置的过程中出现... 您可能感兴趣的文章:IIS 7.5 HTTP 错误 404.3 – Not Found错误的解决方法IIS7/iis7.5 HTTP Error 500.19 配置错误由于权限不足而无法读取配置文件的解决办法IIS7.5 Error Co
cisco防火墙安全基线: 共8项,适用于cisco防火墙 (注意: 部分配置完成后需要重启服务),,,, 序号,控制点,基线要求,操作指南,检测方法 1,密码策略,设置Enable密码,"加固方法: 全局模式下启用如下命令: Pixfirewall...
对找不到的文件启用文件监视 回想起对服务器做的操作,D盘的权限做了操作(PHP是放在D盘),只保留了 SYSTEM 和 Administrators 两个用户组,然后我单独给PHP目录设置User用户组读写权限,还是不行。 然后我就开始...