哈尔滨网站建设效果好,网站改版 影响google 404跳首页,开展网络营销的方式,ps网页设计实验报告安全风险#xff1a;可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。可能原因#xff1a;Web 服务器或应用程序服务器是以不安全的方式配置的。修订建议#xff1a;如果服务器不需要支持WebDAV#xff0c;请务必禁用它#xff0c;或禁止不必要的HTTP 方法。方… 安全风险可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。可能原因Web 服务器或应用程序服务器是以不安全的方式配置的。修订建议如果服务器不需要支持WebDAV请务必禁用它或禁止不必要的HTTP 方法。方法简介除标准的GET和POST方法外HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法 PUT 向指定的目录上载文件 DELETE 删除指定的资源 COPY 将指定的资源复制到Destination消息头指定的位置 MOVE 将指定的资源移动到Destination消息头指定的位置 SEARCH 在一个目录路径中搜索资源 PROPFIND 获取与指定资源有关的信息如作者、大小与内容类型 TRACE 在响应中返回服务器收到的原始请求 其中几个方法属于HTTP协议的WebDAVWeb-based Distributed Authoring and Versioning扩展。 渗透测试步骤 使用OPTIONS方法列出服务器使用的HTTP方法。注意不同目录中激活的方法可能各不相同。 许多时候被告知一些方法有效但实际上它们并不能使用。有时即使OPTIONS请求返回的响应中没有列出某个方法但该方法仍然可用。 手动测试每一个方法确认其是否可用。 使用curl测试curl -v -X OPTIONS http://www.example.com/test/ 查看响应的 Allow: GET, HEAD, POST, PUT, DELETE, OPTIONScurl -v -T test.html http://www.example.com/test/test.html 看是否能上载来判断攻击是否生效。找一个存在的页面如test2.htmlcurl -X DELETE http://www.example.com/test/test2.html 如果删除成功则攻击有效。解决方案如tomcat配置web.xmlsecurity-constraint web-resource-collection web-resource-namefortune/web-resource-name url-pattern/*/url-pattern http-methodPUT/http-method http-methodDELETE/http-method http-methodHEAD/http-method http-methodOPTIONS/http-method http-methodTRACE/http-method /web-resource-collection auth-constraint/auth-constraint /security-constraint login-config auth-methodBASIC/auth-method /login-config 重启tomcat即可完成。以上的代码添加到某一个应用中也可以添加到tomcat的web.xml中区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中则对tomcat下所有的应用有效。
