文档章节

关于修复“启用了不安全的 HTTP 方法”

英强
 英强
发布于 2014/08/22 00:33
字数 299
阅读 5888
收藏 3

最近在搞个项目,客户那边用IBM的appscan扫了下。始终有“启用了不安全的 HTTP 方法”这个漏洞。

找了下网上的资料,方法都是一致的。在web.xml中添加如下代码。

<security-constraint>
	<web-resource-collection>
		<url-pattern>/*</url-pattern>
		<http-method>PUT</http-method>
		<http-method>DELETE</http-method>
		<http-method>HEAD</http-method>
		<http-method>OPTIONS</http-method>
		<http-method>TRACE</http-method>
	</web-resource-collection>
	<auth-constraint>
	</auth-constraint>
</security-constraint>
<login-config>
	<auth-method>BASIC</auth-method>
</login-config>
本地用curl工具连了下,始终还是发现有这行信息
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS

几乎崩溃的时候,决定建一个干净的项目来测试。结果发现居然这行信息消失了。

意识到是项目中web.xml的配置问题。

仔细找了web.xml的每行配置,最终发现了可疑的地方。

<error-page>
	<error-code>403</error-code>
	<location>/WEB-INF/error/403.html</location>
</error-page>
莫不是这行东西搞得鬼?于是删之,再curl一下,果然那行信息不见了。

但是感觉哪里不太对劲,待明天让客户扫描之后再作验证。

© 著作权归作者所有

英强

英强

粉丝 173
博文 29
码字总数 18802
作品 2
深圳
后端工程师
私信 提问
加载中

评论(4)

英强
英强 博主

引用来自“wind_wp”的评论

这个改的话如果程序出现403错误是不是就不会显示特定页面了,楼主还有发现其他问题吗

是的,会无法显示403页面
wind_wp
wind_wp
这个改的话如果程序出现403错误是不是就不会显示特定页面了,楼主还有发现其他问题吗
英强
英强 博主

引用来自“天冫桁”的评论

大哥,这个问题你解决了没?求解决方法
按照我上面写的那么配置就可以了
天冫桁
天冫桁
大哥,这个问题你解决了没?求解决方法
【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)

最近一直刷新AppScan的下限,对于Appscan报出的中危漏洞“启用不安全的HTTP方法”。分析了其扫描机制,以及处理方法和绕开方法。如果不耐烦看分析过程,请直接跳到文章最后看处理方法。 0. 漏...

黑帽子
2013/06/09
696
0
nginx 爆 0day 漏洞,上传图片可入侵服务器

国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允 许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布补丁修...

红薯
2010/05/21
3.5K
7
WinRAR 5.21 官方中文正式版发布

WinRAR 5.21 正式版发布近一个月后,官方的中文版终于来了,包括简体和繁体。 WinRAR 5.21是个小幅更新版本,只做了一些细节更新并修复了部分Bug。以下来自官方更新日志: 1、“设置/集成/上...

oschina
2015/03/13
1K
0
MySQL重装出错解决方法

Windows系统中,如果先前已安装有MySQL,修复或卸载重装后,在最后一步会提示不成功! 可能原因: 1、 防火墙打开了,网络端口3306没开启,导致MySQL安全验证不通过 2、 卸载重装MySQL不干净...

长平狐
2013/01/06
70
0
如何让你的操作系统更安全二

如何让你的操作系统更安全二 360+NOD32 将流氓病毒一扫光 360安全卫士的简介: 360是一款专门用于对付流氓软件的克星,目前成为装机必备的工具。([url]http://www.360.cn/[/url]) 安装过程...

技术小胖子
2017/11/07
0
0

没有更多内容

加载失败,请刷新页面

加载更多

查看线上日志常用命令

cat 命令(文本输出命令) 通常查找出错误日志 cat error.log | grep 'nick' , 这时候我们要输出当前这个日志的前后几行: 显示file文件里匹配nick那行以及上下5行 cat error.log | grep -C ...

xiaolyuh
10分钟前
3
0
六、Java设计模式之工厂方法

工厂方法定义: 定义一个创建对象的接口,但让实现这个接口的类来决定实例化哪个类,工厂方法让类的实例化推迟到子类中进行 类型:创建型 工厂方法-使用场景: 创建对象需要大量重复的代码 ...

东风破2019
16分钟前
2
0
win服务器管理遇到的一系列问题记录

有些小伙伴在使用iis7远程桌面管理工具的时候总是会遇到一系列的问题,下面就是为大家介绍一下服务器日常管理过程中出现的问题及我的解决办法和心得。希望能帮到大家。   拒绝服务器重新启...

1717197346
24分钟前
2
0
flutter 剪切板 复制粘贴

复制粘贴功能 import 'package:flutter/services.dart'; Clipboard.setData(ClipboardData(text:_text));Clipboard.getData;...

zdglf
26分钟前
2
0
如何保证消息的可靠性传输?或者说,如何处理消息丢失的问题?

面试题 如何保证消息的可靠性传输?或者说,如何处理消息丢失的问题? 面试官心理分析 这个是肯定的,用 MQ 有个基本原则,就是数据不能多一条,也不能少一条,不能多,就是前面说的重复消费...

米兜
27分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部