AppScan-Authentication Bypass Using HTTP Verb Tampering
来源:互联网 发布:php能做爬虫吗 编辑:程序博客网 时间:2024/04/30 12:11
话说到盖哥我继前段时间各个行业同时进行各个版本平台的安全测试,为此大忙特忙了一段时间,之后就开始重返之前的工作内容了。
经过之前的工作,也开始有点了解Web安全相关的知识了,虽然买的书还没怎么看,但那时在工作中了解了一些xss,csrf,sql注入等等相关的知识以及怎么去防御。
上周又被甩了一个锅过来,其中一个就是标题描述的缺陷,字面意思翻译过来就是【通过篡改http请求类型来绕过Web授权及认证】,分析了下appscan的攻击案例的时候我是一脸萌比的:本来是get类型的请求,把get换成一个不存在的请求类型竟然能正常请求并且返回正常的网页内容。
利用postman模拟正常请求,用fiddler拦截请求并修改请求类型为SHIT,竟然真的能正常返回(解释下背景,平台带apache和tomcat)。
另外设置`tomcat的web.xml
<security-constraint> <web-resource-collection> <web-resource-name>Allowed methods</web-resource-name> <url-pattern>/*</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> </web-resource-collection> </security-constraint> <security-constraint> <web-resource-collection> <web-resource-name>Restricted methods</web-resource-name> <url-pattern>/</url-pattern> </web-resource-collection> <auth-constraint /> </security-constraint>
也没有任何效果。
后来想在apache中拦截掉不存在或者不想接收的请求,才找到解决方案:修改apache/conf/httpd.conf,增加网络空间Location的配置项
<Location /> <LimitExcept GET POST OPTIONS CONNECT PROPFIND /> Order allow deny Deny from all </LimitExcept></Location>
再次测试发现SHIT请求或者其他不在LimitExcept中的类型都会被拦截并且返回403错误(服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误),问题到此解决完成,记录一下。
阅读全文
1 0
- AppScan-Authentication Bypass Using HTTP Verb Tampering
- Huawei HG866 Authentication Bypass
- IBM Lotus Domino Authentication Bypass
- bypass dll authentication in sygate and such
- Multiple Products Cookie Authentication Bypass Vulnerability
- Oracle Database Authentication Protocol Security Bypass
- How to setup Git http authentication using LDAP in Apache
- HTTP Authentication
- Using Process Infection to Bypass Firewalls
- Using XSS to bypass CSRF protection
- Bypass XSS filters using data URIs
- Oracle GlassFish Server Administration Console Remote Authentication Bypass Vulnerability
- MySQL 4.1+ using old authentication
- AppScan
- AppScan
- AppScan
- appscan
- appscan
- Qt 中关于 QWidget 添加菜单栏 菜单栏可以 随窗口大小伸缩
- Animation 动画类型
- IDEA的安装破解教程和使用说明(二)
- Golang 优化之路——HTTP长连接
- Android 计时器
- AppScan-Authentication Bypass Using HTTP Verb Tampering
- C++程序员学Java系列之八:随机数类Random
- java 正则使用笔记
- Android 侧拉布局
- Hive中Order by和Sort by的区别是什么?
- vim ctags
- C++程序员学Java系列之九:流程控制语句if,else
- Animation 滑动切换界面
- 计算器的实现