漏洞修复:Often Misused: HTTP Method Override
描述
In order to protect access to various resources, web servers may be configured to prevent the usage of specific HTTP verbs. However, some web frameworks provide a way to override the HTTP method in the request by supplying specific HTTP request headers. This feature is typically used when a web or proxy server restricts certain verbs, but the application needs to use them, especially in RESTful services. It is possible for a malicious user to take advantage of this feature to bypass HTTP verbs restrictions implemented on a server. Doing so may allow the attacker to perform unintended actions on protected resources in the web application.
解决方案
nginx
在server下添加
set $method $request_method;
proxy_method $method;
例如:
server{set $method $request_method;proxy_method $method;
}
思路
默认只用request的进行请求,无视header
其他思路,也可以移除header
使用nginx模块headers-more-nginx-module移除
X-Http-Method-Override
X-Method-Override
X-HTTP-Method
这3个header
参考
https://vulncat.fortify.com/en/detail?id=desc.dynamic.xtended_preview.often_misused_http_method_override
https://stackoverflow.com/questions/66032991/how-do-i-ensure-that-x-http-method-headers-are-ignored
https://docs.uipath.com/installation-and-upgrade/lang-zh_CN/docs/disabling-the-http-method-override-request
http://fandry.blogspot.com/2012/03/x-http-header-method-override-and-rest.html
https://mdnice.com/writing/09441b48b09a4e4f9db64203c95ce7f9
漏洞修复:Often Misused: HTTP Method Override相关推荐
- Struts2漏洞修复方案
Struts2漏洞修复方案 近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商.银行.门户 ...
- shrio反序列漏洞修复_Apache Shiro Java 反序列化漏洞分析
Author: rungobier(知道创宇404安全实验室) Date: 2016-08-03 0x00 概述 Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它 ...
- java中xxe漏洞修复方法
java中禁止外部实体引用的设置方法不止一种,这样就导致有些开发者修复的时候采用的错误的方法 之所以写这篇文章是有原因的!最早是有朋友在群里发了如下一个pdf, 而当时已经是2019年1月末了,应该不 ...
- PrestaShop 网站漏洞修复如何修复
2019独角兽企业重金招聘Python工程师标准>>> PrestaShop网站的漏洞越来越多,该网站系统是很多外贸网站在使用的一个开源系统,从之前的1.0初始版本到现在的1.7版本 ...
- PrestaShop 网站漏洞修复办法
PrestaShop网站的漏洞越来越多,该网站系统是很多外贸网站在使用的一个开源系统,从之前的1.0初始版本到现在的1.7版本,经历了多次的升级,系统使用的人也越来越多,国内使用该系统的外贸公司也很多 ...
- php 打开任意文件下载,TEC-004-php文件下载任意文件读取漏洞修复
修改download?u参数值,将/public/files/14842030529.txt,替换为../../../../../../../../../../etc/passwd function ...
- Drupal 网站漏洞修复以及网站安全防护加固方法
2019独角兽企业重金招聘Python工程师标准>>> drupal是目前网站系统使用较多一个开源PHP管理系统,架构使用的是php环境+mysql数据库的环境配置,drupal的代 ...
- 网站漏洞修复公司处理网站被篡改跳转到其他网站的解决办法
2019独角兽企业重金招聘Python工程师标准>>> 某一客户单位的网站首页被篡改,并收到网监的通知说是网站有漏洞,接到上级部门的信息安全整改通报,贵单位网站被植入木马文件,导致网 ...
- 给你汇报Struts2 S2-016漏洞修复的总结
这篇文章主要介绍了Struts2 S2-016漏洞修复的总结,有需要的小伙伴可以进来参考下,来一起互相探讨一下哦 Struts2的S2-016漏洞是之前比较重大的漏洞,也是一些老系统的历史遗留问题 此 ...
最新文章
- MVC自定义视图规则
- php弹出消息翻页,一个很不错的PHP翻页类
- SVM+HOG:用初次训练的.xml分类器在负样本原图上检测生成HardExample样本
- 如何在VScode 中 调试 ts 文件 Unit test
- 奥的斯服务器显示chc,奥的斯服务器查看故障清除故障
- matlab axes坐标轴长度,[转载]Matlab 坐标轴(axes),数据提示(data
- Linux下tomcat的catalina.out文件过大,以及目录更改解决办法
- 破解wifi密码最简单教程 就三步
- VS2015安装包-下载
- office 2019 安装教程(图解版)
- 程序员之间的战争 战场是用户电脑
- oracle如何写不等于号,Oracle中不等于号问题-Oracle
- 为什么沃尔玛等零售商会结成移动支付联盟 ?
- 企业级架构之LNMP
- 2021年电工(初级)考试题库及电工(初级)复审考试
- 重定向和CSFB返回场景优先ENDC选网介绍
- 解决gazebo [gazebo_gui-3] process has died和[Err] [REST.cc:205] Error in REST request错误
- 企业微信私有版设置服务器,企业微信私有化部署解决方案,企业微信私有化部署疑问解答...
- 【CC++】数组作为函数的参数
- 基于JAVA恩施茶多芬网店系统设计与实现2021计算机毕业设计源码+系统+lw文档+部署