安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 系统文档 > 启用不安全的HTTP方法解决办法IBM APPSCAN

启用不安全的HTTP方法解决办法IBM APPSCAN

时间:2016-04-13来源:未知 作者:安云网点击:
http://www.51testing.com/html/33/n-3603333.html 安全风险: 可能会在 Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的。 修订建议:
//内容来自安云网

http://www.51testing.com/html/33/n-3603333.html

//本文来自安云网


//本文来自安云网

 安全风险:

//本文来自安云网

  可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。

  可能原因:

  Web 服务器或应用程序服务器是以不安全的方式配置的。

  修订建议:

  如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。

  方法简介:

  除标准的GET和POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法:

启用不安全的HTTP方法解决办法IBM APPSCAN

  其中几个方法属于HTTP协议的WebDAV(Web-based Distributed Authoring and Versioning)扩展。

  渗透测试步骤:

  使用OPTIONS方法列出服务器使用的HTTP方法。注意,不同目录中激活的方法可能各不相同。

  许多时候,被告知一些方法有效,但实际上它们并不能使用。有时,即使OPTIONS请求返回的响应中没有列出某个方法,但该方法仍然可用。

  手动测试每一个方法,确认其是否可用。

  使用curl测试:

  curl -v -X OPTIONS http://www.example.com/test/

  查看响应的 Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS

  curl -v -T test.html  http://www.example.com/test/test.html

  看是否能上载来判断攻击是否生效。

  找一个存在的页面,如test2.html

  curl -X DELETE http://www.example.com/test/test2.html

  如果删除成功,则攻击有效。

  解决方案:

  如tomcat,配置web.xml

  <security-constraint>

  <web-resource-collection>

  <web-resource-name>fortune</web-resource-name>

  <url-pattern>/*</url-pattern>

  <http-method>PUT</http-method>

  <http-method>DELETE</http-method>

  <http-method>HEAD</http-method>

  <http-method>OPTIONS</http-method>

  <http-method>TRACE</http-method>

  </web-resource-collection>

  <auth-constraint></auth-constraint>

  </security-constraint>

  重启tomcat即可完成。

  以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效,如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效

http://www.2cto.com/Article/201209/157201.html


启用不安全的HTTP方法解决办法IBM APPSCAN

本文标题: 启用不安全的HTTP方法解决办法IBM APPSCAN 安云网
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容