目标URL启用了不安全的HTTP方法

修复中危web项目漏洞(目标URL启用了不安全的HTTP方法)

漏洞名 :目标URL启用了不安全的HTTP方法

等级: 中危

漏洞位置: PUT DELETE

描述: Web服务器配置为允许使用危险的HTTP方法,如PUT、MOVE、COPY、DELETE、PROPFIND、SEARCH、MKCOL、LOCK、UNLOCK、PROPPATCH,该配置可能允许未授权的用户对Web服务器进行敏感操作。

修复建议:如果服务器不需要支持WebDAV请禁用WebDAV,或禁用掉不安全的HTTP方法

修复方法:在项目的web.xml配置中,增加如下代码:

java 复制代码
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>Kosn2</web-resource-name>
			<url-pattern>/*</url-pattern>
			<http-method>PUT</http-method>
			<http-method>DELETE</http-method>
			<http-method>HEAD</http-method>
			<http-method>OPTIONS</http-method>
			<http-method>TRACE</http-method>
			<http-method>PATCH</http-method>
		</web-resource-collection>
		<auth-constraint></auth-constraint>
	</security-constraint>
相关推荐
启雀AI3 小时前
生物医疗行业如何建设合规、安全、可复用的知识库?
人工智能·安全·软件构建·知识图谱·知识库
Sirius Wu4 小时前
OpenClaw Skill:Matplotlib 可视化技能 + 沙箱双层隔离完整详解
服务器·网络·人工智能·安全·ai·架构·aigc
测试员周周4 小时前
【skills5】一份 spec 生成 k6/JMeter/Locust:性能压测 + 全站截图,上线前的双保险
功能测试·网络协议·测试工具·jmeter·http·自动化·集成测试
酣大智4 小时前
常用 IP 协议号大全(IP 层承载的上层协议)
网络·网络协议·tcp/ip
冬奇Lab4 小时前
每日一个开源项目(第160篇):Destructive Command Guard - 在 AI Agent 运行 rm -rf 之前拦截它
人工智能·安全·开源
ChainSafeAI0026 小时前
Summer.fi 遭600万美元漏洞攻击,安全警报拉响
安全
一勺菠萝丶8 小时前
生产环境平滑升级实战-Nginx维护页数据库迁移与安全回滚
数据库·nginx·安全
味悲9 小时前
搭建WAF+宝塔反向代理
安全
BenSmith11 小时前
RTOS漏洞分析:CVE-2026-10641和CVE-2026-9263
安全
happyness4411 小时前
AI重构实战案例:安全地将旧系统中大量基于 Thread 和同步阻塞的硬件通信代码,重构为现代的 async/await Task 异步架构
人工智能·安全·重构