目标URL启用了不安全的HTTP方法

8月前作者：雾漫分类：Toy博客阅读(31) 违法举报

这篇具有很好参考价值的文章主要介绍了目标URL启用了不安全的HTTP方法。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

修复中危web项目漏洞（目标URL启用了不安全的HTTP方法）

漏洞名：目标URL启用了不安全的HTTP方法
等级：中危
漏洞位置： PUT DELETE
描述： Web服务器配置为允许使用危险的HTTP方法，如PUT、MOVE、COPY、DELETE、PROPFIND、SEARCH、MKCOL、LOCK、UNLOCK、PROPPATCH，该配置可能允许未授权的用户对Web服务器进行敏感操作。
修复建议：如果服务器不需要支持WebDAV请禁用WebDAV，或禁用掉不安全的HTTP方法

修复方法：在项目的web.xml配置中，增加如下代码：文章来源地址https://www.toymoban.com/news/detail-737512.html

	<security-constraint>
		<web-resource-collection>
			<web-resource-name>Kosn2</web-resource-name>
			<url-pattern>/*</url-pattern>
			<http-method>PUT</http-method>
			<http-method>DELETE</http-method>
			<http-method>HEAD</http-method>
			<http-method>OPTIONS</http-method>
			<http-method>TRACE</http-method>
			<http-method>PATCH</http-method>
		</web-resource-collection>
		<auth-constraint></auth-constraint>
	</security-constraint>

到了这里，关于目标URL启用了不安全的HTTP方法的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

脆弱的SSL加密算法漏洞原理以及修复方法_检测到目标服务支持ssl弱加密算法漏洞修复

可以这样建立一个仅使用SSLv2协议及其密码算法的服务器： httpd.conf SSLProtocol -all +SSLv2 SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP 3、如何建立一个仅接受强加密请求的SSL服务器: 如下设置为仅使用最强的七种密码算法： httpd.conf SSLProtocol all SSLCipherSuite HIGH:MEDIUM 4、如何建立一个仅接受

2024年04月13日
浏览(40)
慢速 HTTP 攻击 Slow HTTP Attack漏洞原理以及修复方法

漏洞名称：Slow Http attack、慢速攻击漏洞描述：慢速攻击基于HTTP协议，通过精心的设计和构造，这种特殊的请求包会造成服务器延时，而当服务器负载能力消耗过大即会导致拒绝服务。HTTP协议规定，HTTP Request以rnrn（0d0a0d0a）结尾表示客户端发送结束，服务端开始处理。那

2024年01月19日
浏览(33)
此URL不支持Http方法POST/GET描述请求行中接收的方法由源服务器知道，但目标资源不支持

出现这个错误，一般是你需要在自己的sevlet里面没有实现doget（）/dopost（）方法。而，如果你实现了doget()和dopost（）方法。可以从前端获取数据，设置了响应页面，但是却没有响应。就比如说：我输入表单信息之后，根据账号密码，经过数据库验证，响应不同的页面。

2024年02月04日
浏览(31)
漏洞挖掘-不安全的HTTP方法

前言：不安全的 HTTP 方法是指在不使用安全连接 (例如 TLS) 的情况下，可能导致数据泄露或被篡改的 HTTP 请求方法。这些方法包括：笔者在一次漏洞挖掘的过程中，几乎是习惯性的看了一眼OPTIONS方法，OPTIONS方法很简单，只需要在请求包里直接将GET/POST方法进行替换，即可看

2024年02月07日
浏览(28)
HTTP.sys远程代码执行漏洞修复

Http.sys是Microsoft Windows处理HTTP请求的内核驱动程序。HTTP.sys会错误解析某些特殊构造的HTTP请求，导致远程代码执行漏洞。成功利用此漏洞后，攻击者可在System帐户上下文中执行任意代码。由于此漏洞存在于内核驱动程序中，攻击者也可以远程导致操作系统蓝屏。此次受影响的

2024年02月02日
浏览(36)
PHP编码安全之四: URL跳转安全(漏洞)

URL跳转漏洞, 也叫开放重定向漏洞(open redirect)。如果处理不当会导致用户被重定向至钓鱼或恶意网站。我们通常用白名单机制来处理，比如qq登录等接口的回调页面就要求做白名单限制。通常我们会判断跳转url中的域名或者路径是否合法，但是问题往往就出现在这些判断中。

2023年04月11日
浏览(32)
修复nginx 可通过HTTP获取远端WWW服务信息漏洞

当前版本是1.22.1编译安装的在原先nginx-1.22.1目录下重新编译然后把新加模块的nginx执行文件复制到nginx安装目录下重新启动，或者平滑升级一下就可以了要先停止n ginx nginx -s stop 下载 Nginx 扩展 headers-more-nginx-module wget https://github.com/openresty/headers-more-nginx-module/archive/

2024年02月13日
浏览(31)
CSRF安全漏洞修复

使用burp进行拦截请求然后使用csrf伪造进行请求伪造。在每个请求中增加 referer字段，如果没有这个字段则说明是伪造的请求。然后判断referer字段的域名和request的请求域名是否相同，如果不同则说明是伪造的请求。本处判断只判断接口，对页面进行放行（判断是否为页面的

2024年02月16日
浏览(30)
漏洞修复：在应用程序中发现不必要的 Http 响应头

blablabla描述，一般是在返回的响应表头中出现了Server键值对，那我们要做的就是移除它，解决方案中提供了nginx的解决方案第一种解决方案当前解决方案会隐藏nginx的版本号，但还是会返回nginx字样，如果想再彻底点，参考第二种解决方案 or 第二种解决方案当前方法需要安装

2024年02月09日
浏览(32)
不安全的TLS协议漏洞修复

以上是在做项目过程中，发现了Nginx的配置支持了SSL3.0, TLS1.0和TLS1.1等不安全的协议，存在安全隐患。登录了服务器，修改Nginx的配置，如果有多套，都需要修复，修改的配置如下：使用工具：Nmap工具下载地址：https://nmap.org/download 因为我本机是Windows 10，就下载了nmap-7.93-s

2024年02月05日
浏览(71)