安全风险:
可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。
可能原因:
Web 服务器或应用程序服务器是以不安全的方式配置的。
修订建议:
如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。
方法简介:
除标准的GET和POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法:
  PUT    向指定的目录上载文件
  DELETE   删除指定的资源
  COPY   将指定的资源复制到Destination消息头指定的位置
  MOVE   将指定的资源移动到Destination消息头指定的位置
  SEARCH   在一个目录路径中搜索资源
  PROPFIND   获取与指定资源有关的信息,如作者、大小与内容类型
  TRACE   在响应中返回服务器收到的原始请求

其中几个方法属于HTTP协议的WebDAV(Web-based Distributed Authoring and Versioning)扩展。

渗透测试步骤:
使用OPTIONS方法列出服务器使用的HTTP方法。注意,不同目录中激活的方法可能各不相同。

许多时候,被告知一些方法有效,但实际上它们并不能使用。有时,即使OPTIONS请求返回的响应中没有列出某个方法,但该方法仍然可用。
手动测试每一个方法,确认其是否可用。

使用curl测试:

curl -v -X OPTIONS http://www.example.com/test/

查看响应的 Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS

curl -v -T test.html  http://www.example.com/test/test.html

看是否能上载来判断攻击是否生效。
找一个存在的页面,如test2.html

curl -X DELETE http://www.example.com/test/test2.html

如果删除成功,则攻击有效。
解决方案:
如tomcat,配置web.xml

<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>

重启tomcat即可完成。

以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效,如果添加到tomcat的web.xml中,
则对tomcat下所有的应用有效。

转载于:https://www.cnblogs.com/qmfsun/p/6169641.html

验证启用了不安全的HTTP方法相关推荐

  1. 计算机无法验证签名,电脑提示“无法验证此文件的数字签名”的修复方法

    近期,一位小伙伴反馈说电脑总弹出"无法验证此文件的数字签名"的错误提示,由于一个错误,造成系统无法正常运行,怎么办?真是急死人,特别是着急的要使用电脑的情况,针对此疑问,小编分享一 ...

  2. 【安全问题】启用了不安全的HTTP方法——深度分析及解决方案

    前言 启用了不安全的HTTP方法是常见的安全报错.本文将对八种主要的HTTP方法进行原理及安全性分析,并提供简单的解决方案. 1.HTTP方法安全性分析 1.1 HTTP方法由来 HTTP协议提供了集 ...

  3. 远程云服务器闪退_win系统远程桌面连接闪退、停留在正在配置远程会话无反应、提示身份验证错误函数不受支持的解决方法...

    win系统的安装越来越便捷,大多都用ghost一键安装,这就导致远程桌面连接云服务器时出现闪退.停留在正在配置远程会话无反应.提示身份验证错误函数不受支持等错误,网上的解决方法也是五花八门,但真正有用 ...

  4. 启用了不安全的 HTTP 方法

    IBM appscan安全漏洞扫描--启用了不安全的 HTTP 方法 appscan修订建议: 如果服务器不需要支持 WebDAV,请务必禁用它,或禁止不必要的 HTTP 方法(动词). <se ...

  5. poi 启用保护后取消_ie11启用增强保护模式开启关闭方法

    ie11启用增强保护模式开启关闭方法 有网友和浏览器之家小编说到,一打开IE11就在那里报错,然后提示崩溃并再次恢复.导致软件无法正常使用是无法忍受的.其实这一切的始作俑者就是 IE11 里的&quo ...

  6. c语言信用卡号验证,Javascript验证Visa和MasterCard信用卡号的方法

    本文实例讲述了Javascript验证Visa和MasterCard信用卡号的方法.分享给大家供大家参考.具体实现方法如下: visa验证: Visa Example function luhnChe ...

  7. 【Mac】macOS无法验证此App不包含恶意软件 解决方法

    解决方法 Mac电脑打开app,提示无法验证此App不包含恶意软件解决方法

  8. win10小娜_win10锁屏界面启用微软小娜功能的方法

    win10锁屏界面启用微软小娜功能的方法,win10系统自带有小娜功能,但一些用户不知如何启用小娜,其实我们可通过 锁屏界面中启用,不知如何操作的用户,请来看看下面的介绍吧. win10系统小娜助手可 ...

  9. suricata mysql_Suricata启用Hyperscan支持以及Prelude-siem安装方法.md

    # Suricata启用Hyperscan支持以及Prelude-siem安装方法 ## 0x01 安装 Hyperscan ### 1.Hyperscan 安装要求: * GCC 版本大于等于 4. ...

最新文章

  1. 怎么用javascript进行拖拽
  2. HwServiceManager篇-Android10.0 HwBinder通信原理(五)
  3. 自学编程的朋友,我想给你们这 5 个建议
  4. mysql event 学习
  5. 一个大胖鲸-Docker(1)
  6. 【Python3网络爬虫开发实战】1.6.2-Tornado的安装
  7. centos6.5安装apache php,Centos66安装apache24
  8. spring resttemplate中的转码
  9. c语言程序与结构,c语言基础与顺序结构-c语言程序设计.ppt
  10. oracle sap 英克,中普审计软件内置350多个财务软件接口(新)-2015.9.16
  11. IOMMU/SMMUV3代码分析(0)IOMMU架构
  12. 小程序ios android差异,解决小程序textarea在安卓和ios上padding不一的问题
  13. Redis常用命令大全
  14. POI Invalid column index (-5).Allowable column range for EXCEL2007 is (0..16383) or (‘A‘..‘XFD‘)问题解决
  15. python数学符号代码_用Python学数学之Sympy代数符
  16. vue项目如何部署?布署服务器后刷新404如何解决?
  17. MATLAB 函数大全
  18. 《信号与系统学习笔记》—连续时间博里叶变换(一)
  19. C语言数组中,数组名在中括号中(即 [array])是什么意思?
  20. 管理层必备:如何激励一个团队的成员

热门文章

  1. Linux / Ubuntu系统查看磁盘空间及目录容量
  2. Loadrunner性能测试结果分析
  3. 排序中减治法算法伪代码_算法浅谈——分治算法与归并、快速排序(附代码和动图演示)...
  4. date类before()方法的主要作用是_DateFormat类的子类:SimpleDateFormat
  5. 基于html5游戏毕业设计数据流图,基于HTML5的网络拓扑图设计
  6. 没有内存条电脑能开机吗_电脑没内存条能开机吗?这位朋友说他的电脑没内存条都用几年了!...
  7. b-2014四川电子机械职业技术学院计算机科学与技术毕业设计选题,2014届计算机科学与技术专业本科毕业设计(论文)选题指南...
  8. Mac电脑mysql创建数据库步骤_mac上创建MySQL的基本步骤
  9. 怎么获取php文件,学习猿地-php怎么获取文件修改时间?
  10. 五个数字从小到大排序java,五个数冒泡排序 用c语言数组定义5个数使用冒泡排序 从小到大...