关于修复“启用了不安全的 HTTP 方法”

最近在搞个项目,客户那边用IBM的appscan扫了下。始终有“启用了不安全的 HTTP 方法”这个漏洞。

找了下网上的资料,方法都是一致的。在web.xml中添加如下代码。

<security-constraint>
	<web-resource-collection>
		<url-pattern>/*</url-pattern>
		<http-method>PUT</http-method>
		<http-method>DELETE</http-method>
		<http-method>HEAD</http-method>
		<http-method>OPTIONS</http-method>
		<http-method>TRACE</http-method>
	</web-resource-collection>
	<auth-constraint>
	</auth-constraint>
</security-constraint>
<login-config>
	<auth-method>BASIC</auth-method>
</login-config>

本地用curl工具连了下,始终还是发现有这行信息

Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS

几乎崩溃的时候,决定建一个干净的项目来测试。结果发现居然这行信息消失了。

意识到是项目中web.xml的配置问题。

仔细找了web.xml的每行配置,最终发现了可疑的地方。

<error-page>
	<error-code>403</error-code>
	<location>/WEB-INF/error/403.html</location>
</error-page>

莫不是这行东西搞得鬼?于是删之,再curl一下,果然那行信息不见了。

但是感觉哪里不太对劲,待明天让客户扫描之后再作验证。

关于修复“启用了不安全的 HTTP 方法”,布布扣,bubuko.com

时间: 2024-12-24 22:38:18

关于修复“启用了不安全的 HTTP 方法”的相关文章

启用了不安全的HTTP方法解决办法 IBM APPSCAN

启用了不安全的HTTP方法解决办法  IBM APPSCAN 安全风险: 可能会在Web 服务器上上载.修改或删除Web 页面.脚本和文件. 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的. 修订建议: 如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法. 方法简介: 除标准的GET和POST方法外,HTTP请求还使用其他各种方法.许多这类方法主要用于完成不常见与特殊的任务.如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击.以下是一

手动修复OneDrive的DNS污染屏蔽的方法

随着云计算的发展和微软云战略的持续推进,使用网盘进行文档存储.协同编辑与共享已成为文档操作的新流程.而Office.Office 365和OneDrive等微软产品是Windows用户的首选.但由于国内对Ondrive的DNS污染屏蔽,导致在浏览器端无法使用OneDrive的情况发生,跟用户到来极大不便.下面介绍的就是手动修复OneDrive的DNS污染屏蔽的方法. 对于使用Windows 7版本以上用户以“管理员身份”打开记事本. File=>Open,浏览到“C:\Windows\Syste

SQL Server 启用Ad Hoc Distributed Queries的方法

SQL Server 阻止了对组件 'Ad Hoc Distributed Queries' 的 STATEMENT'OpenRowset/OpenDatasource' 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭.系统管理员可以通过使用 sp_configure 启用 'Ad Hoc Distributed Queries'.有关启用 'Ad Hoc Distributed Queries' 的详细信息,请参阅 SQL Server 联机丛书中的 "外围应用配置器".

U盘坏了可以修复吗,这里有N种方法解决

U盘坏了可以修复吗?U盘是用户使用过的最多的一款数据存储设备了,其便携性和操作方便是主要原因,那么U盘中的数据一般都是比较重要的,当知道U盘出现了损坏的情况后,各位知道该怎么进行修复吗? U盘的损坏也容易导致文件的丢失或是损坏,所以在U盘出现了损坏的情况下,要及时的对U盘进行修复工作,之后对于数据的恢复操作也需要掌握全面,下面就一起来介绍下操作流程吧. 教程一:修复损坏U盘 将U盘连接到USB接口后,让电脑成功读取到磁盘,然后右击盘符,弹出的菜单里选择属性,然后打开对话框,选择工具选项卡,然后点

单据打印模板默认启用打印机本身设置尺寸设置方法

usePaperKind设置为true就会启用打印机本身配置参数. 合川公司由原针式打印机更换为爱普生热敏打印机,更换后,单据打印不全,同一打印模板针式打印机可以打印全,爱普生标签打印机打印不全,经多次测试 分析后,初步断定是纸张类型设置不匹配.如果屏蔽打印模板本身设置成为一个问题,突然发现这个参数设置后,启用 OK.打印机设置生效.可以正常打印 原文地址:https://www.cnblogs.com/xiaoxihebei/p/11612971.html

IIS 7启用static JSON文件能POST方法

<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <handlers> <add name="JSON" path="*.json" verb="GET,POST" modules="IsapiModule" scriptProcesso

验证启用了不安全的HTTP方法

安全风险: 可能会在Web 服务器上上载.修改或删除Web 页面.脚本和文件. 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的. 修订建议: 如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法. 方法简介: 除标准的GET和POST方法外,HTTP请求还使用其他各种方法.许多这类方法主要用于完成不常见与特殊的任务.如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击.以下是一些值得注意的方法:   PUT    向指定的目录上载文件  

启用Nginx目录浏览功能的方法

location / {           root /data/www/file                     //指定实际目录绝对路径:           autoindex on;                            //开启目录浏览功能:           autoindex_exact_size off;            //关闭详细文件大小统计,让文件大小显示MB,GB单位,默认为b:           autoindex_localtime

启用了不安全的HTTP方法

安全风险: 可能会在Web 服务器上上载.修改或删除Web 页面.脚本和文件. 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的. 修订建议: 如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法. 方法简介: 除标准的GET和POST方法外,HTTP请求还使用其他各种方法.许多这类方法主要用于完成不常见与特殊的任务.如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击.以下是一些值得注意的方法:   PUT    向指定的目录上载文件