描述

In order to protect access to various resources, web servers may be configured to prevent the usage of specific HTTP verbs. However, some web frameworks provide a way to override the HTTP method in the request by supplying specific HTTP request headers. This feature is typically used when a web or proxy server restricts certain verbs, but the application needs to use them, especially in RESTful services. It is possible for a malicious user to take advantage of this feature to bypass HTTP verbs restrictions implemented on a server. Doing so may allow the attacker to perform unintended actions on protected resources in the web application.

解决方案

nginx
在server下添加

set $method $request_method;
proxy_method $method;

例如:

server{set $method $request_method;proxy_method $method;
}

思路

默认只用request的进行请求,无视header
其他思路,也可以移除header
使用nginx模块headers-more-nginx-module移除

X-Http-Method-Override
X-Method-Override
X-HTTP-Method

这3个header

参考

https://vulncat.fortify.com/en/detail?id=desc.dynamic.xtended_preview.often_misused_http_method_override
https://stackoverflow.com/questions/66032991/how-do-i-ensure-that-x-http-method-headers-are-ignored
https://docs.uipath.com/installation-and-upgrade/lang-zh_CN/docs/disabling-the-http-method-override-request
http://fandry.blogspot.com/2012/03/x-http-header-method-override-and-rest.html
https://mdnice.com/writing/09441b48b09a4e4f9db64203c95ce7f9

漏洞修复:Often Misused: HTTP Method Override相关推荐

  1. Struts2漏洞修复方案

    Struts2漏洞修复方案 近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商.银行.门户 ...

  2. shrio反序列漏洞修复_Apache Shiro Java 反序列化漏洞分析

    Author: rungobier(知道创宇404安全实验室) Date: 2016-08-03 0x00 概述 Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它 ...

  3. java中xxe漏洞修复方法

    java中禁止外部实体引用的设置方法不止一种,这样就导致有些开发者修复的时候采用的错误的方法 之所以写这篇文章是有原因的!最早是有朋友在群里发了如下一个pdf, 而当时已经是2019年1月末了,应该不 ...

  4. PrestaShop 网站漏洞修复如何修复

    2019独角兽企业重金招聘Python工程师标准>>> PrestaShop网站的漏洞越来越多,该网站系统是很多外贸网站在使用的一个开源系统,从之前的1.0初始版本到现在的1.7版本 ...

  5. PrestaShop 网站漏洞修复办法

    PrestaShop网站的漏洞越来越多,该网站系统是很多外贸网站在使用的一个开源系统,从之前的1.0初始版本到现在的1.7版本,经历了多次的升级,系统使用的人也越来越多,国内使用该系统的外贸公司也很多 ...

  6. php 打开任意文件下载,TEC-004-php文件下载任意文件读取漏洞修复

    修改download?u参数值,将/public/files/14842030529.txt,替换为../../../../../../../../../../etc/passwd function ...

  7. Drupal 网站漏洞修复以及网站安全防护加固方法

    2019独角兽企业重金招聘Python工程师标准>>> drupal是目前网站系统使用较多一个开源PHP管理系统,架构使用的是php环境+mysql数据库的环境配置,drupal的代 ...

  8. 网站漏洞修复公司处理网站被篡改跳转到其他网站的解决办法

    2019独角兽企业重金招聘Python工程师标准>>> 某一客户单位的网站首页被篡改,并收到网监的通知说是网站有漏洞,接到上级部门的信息安全整改通报,贵单位网站被植入木马文件,导致网 ...

  9. 给你汇报Struts2 S2-016漏洞修复的总结

    这篇文章主要介绍了Struts2 S2-016漏洞修复的总结,有需要的小伙伴可以进来参考下,来一起互相探讨一下哦 Struts2的S2-016漏洞是之前比较重大的漏洞,也是一些老系统的历史遗留问题 此 ...

最新文章

  1. MVC自定义视图规则
  2. php弹出消息翻页,一个很不错的PHP翻页类
  3. SVM+HOG:用初次训练的.xml分类器在负样本原图上检测生成HardExample样本
  4. 如何在VScode 中 调试 ts 文件 Unit test
  5. 奥的斯服务器显示chc,奥的斯服务器查看故障清除故障
  6. matlab axes坐标轴长度,[转载]Matlab 坐标轴(axes),数据提示(data
  7. Linux下tomcat的catalina.out文件过大,以及目录更改解决办法
  8. 破解wifi密码最简单教程 就三步
  9. VS2015安装包-下载
  10. office 2019 安装教程(图解版)
  11. 程序员之间的战争 战场是用户电脑
  12. oracle如何写不等于号,Oracle中不等于号问题-Oracle
  13. 为什么沃尔玛等零售商会结成移动支付联盟 ?
  14. 企业级架构之LNMP
  15. 2021年电工(初级)考试题库及电工(初级)复审考试
  16. 重定向和CSFB返回场景优先ENDC选网介绍
  17. 解决gazebo [gazebo_gui-3] process has died和[Err] [REST.cc:205] Error in REST request错误
  18. 企业微信私有版设置服务器,企业微信私有化部署解决方案,企业微信私有化部署疑问解答...
  19. 【CC++】数组作为函数的参数
  20. 基于JAVA恩施茶多芬网店系统设计与实现2021计算机毕业设计源码+系统+lw文档+部署

热门文章

  1. Axure中的登陆界面和动画轮播
  2. 苹果手机输入汉字显示拼音和汉字问题
  3. 2022年二级建造师报名需要准备什么
  4. Nvme pcie有线千兆网卡
  5. vue里 a(){} 和a:()=>{}的区别
  6. 查询计算机系男生修了,sql练习参考答案
  7. 在Python中如何方便的制作个性化的词云图
  8. 怎样在线快速缩小动图大小?怎样在线压缩gif图片?
  9. 将svg图标转换成iconfont图标
  10. 一分钟详解线结构光扫描系统