解决危险的HTTP方法未禁用安全漏洞的方案
1. 漏洞描述:
Web 服务器启用了不安全的HTTP方法,如PUT, DELETE, TRACE等,这些方法可能表示在服务器上启用了 WebDAV,可能允许未授权的用户对其进行利用.
2. 解决方案:
建议关闭OPTIONS、PUT、DELETE、TRACE方法,只保留GET、POST等方法。
3. 解决步骤:
(1) 禁用DELETE、PUT方法:
在Tomcat中l里检查readonly参数是否为true;
<init-param>
     <param-name>readonly</param-name>
     <param-value>true</param-value>
</init-param>
备注:如果不存在readonly参数,则不用配置,因为该参数的默认值为true;如果配置了参数,则需要确保参数值为true。
(2) 禁用TRACE方法:
在Tomcat中l里设置allowTrace=false
<Connector port="80" maxThreads="150" connectionTimeout="20000" redirectPort="8443"    allowTrace="false"/>
备注:如果不存在aloowTrace参数,则不用配置,因为该参数的默认值为false;如果配置了参数,需要确保参数值为false。
(3) 整体配置
在Tomcat中l里加入配置;
<security-constraint>
    <web-resource-collection>
      <url-pattern>/*</url-pattern>
      <http-method>OPTIONS</http-method>
      <http-method>HEAD</http-method>
      <http-method>PUT</http-method>
      <http-method>DELETE</http-method>
      <http-method>TRACE</http-method>
    </web-resource-collection>
    <auth-constraint>
    </auth-constraint>
 </security-constraint>
按照以上操作就可以有效的防止利用http方法进行攻击
OPTIONS / HTTP/1.1
Host: 47.104.223.249:8764
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en:q=0.2,zh-TW:q=0.7
Cookie: JSESSIONID=42667CEE40C4884F22800EFC369C1451:_site_id_cookie=1
Connection:closejsessionid
Upgrade-Insecure-Requests:1

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。