目标URL启用了不安全的HTTP方法

修复中危web项目漏洞(目标URL启用了不安全的HTTP方法)

漏洞名 :目标URL启用了不安全的HTTP方法

等级: 中危

漏洞位置: PUT DELETE

描述: Web服务器配置为允许使用危险的HTTP方法,如PUT、MOVE、COPY、DELETE、PROPFIND、SEARCH、MKCOL、LOCK、UNLOCK、PROPPATCH,该配置可能允许未授权的用户对Web服务器进行敏感操作。

修复建议:如果服务器不需要支持WebDAV请禁用WebDAV,或禁用掉不安全的HTTP方法

修复方法:在项目的web.xml配置中,增加如下代码:

java 复制代码
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>Kosn2</web-resource-name>
			<url-pattern>/*</url-pattern>
			<http-method>PUT</http-method>
			<http-method>DELETE</http-method>
			<http-method>HEAD</http-method>
			<http-method>OPTIONS</http-method>
			<http-method>TRACE</http-method>
			<http-method>PATCH</http-method>
		</web-resource-collection>
		<auth-constraint></auth-constraint>
	</security-constraint>
相关推荐
Arva .6 小时前
HTTP常见误区
网络·网络协议·http
七夜zippoe6 小时前
HTTP 性能优化实战:突破高并发瓶颈的工业级方案
http·性能优化·协议
Ftrans6 小时前
【分享】文件摆渡系统适配医疗场景:安全与效率兼得
大数据·运维·安全
筑梦之月6 小时前
网络安全职业指南:探索网络安全领域的各种角色
安全·web安全
创思通信6 小时前
4G模块 A7670发送英文短信到手机
物联网·网络协议·信息与通信
我认为可以!6 小时前
CSRF 攻击原理与实验测试(附可运行测试案例)
安全·csrf
Raners_6 小时前
【Java代码审计(2)】MyBatis XML 注入审计
xml·java·安全·网络安全·mybatis
Synfuture阳途8 小时前
终端安全管理系统为什么需要使用,企业需要的桌面管理软件
网络·安全
时间海里的溺水者8 小时前
应用软件格式渗透 利用word去渗透(MS10-087)
安全·web安全
青柠檬-hxj9 小时前
理解 HTTP POST 请求中的 json 和 data 参数
网络协议·http·json