apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改的认证旁路漏洞
来源:互联网 发布:淘宝游戏币交易平台 编辑:程序博客网 时间:2024/05/10 19:57
第一种办法:在/opt/IBM/HTTPServer/conf 下的httpd.conf也就是apache的配置文件.加上如下代码
<Location />
<LimitExcept GET POST HEAD CONNECT OPTIONS>
Order Allow,Deny
Deny from all
</LimitExcept>
</Location>
LimitExcept 后面写的是允许经过的http方法,我这边是was8.5默认的put和delete、trace方法是禁止的,head方法好像默认不禁止,你在这里写上LimitExcept GET POST
只允许post和get方法也没用,head照样可以走,我猜想是在was8.5本身默认禁止和不禁止的配置上加这些代码的吧。
第二种方法:在程序中加过滤器,我是Struts1 ,针对每一个请求都加上过滤器,使用request.getMethod方法判断,除了get,post , head,connect ,options之外的方法都直接return就行了,如下所示。
if(method.equalsIgnoreCase("post")||method.equalsIgnoreCase("get")||method.equalsIgnoreCase("head")
||method.equalsIgnoreCase("trace")||method.equalsIgnoreCase("connect")||method.equalsIgnoreCase("options")){
}
0 0
- apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改的认证旁路漏洞
- 网络安全-使用HTTP动词篡改的认证旁路
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- HTTP动词
- HTTP动词
- Apache HTTP Server服务器的使用
- 启用不安全的HTTP方法解决办法IBM APPSCAN
- Apache http 服务器的搭建
- HTTP使用BASIC认证的原理及实现方法
- HTTP使用BASIC认证的原理及实现方法
- HTTP使用BASIC认证的原理及实现方法
- HTTP使用BASIC认证的原理及实现方法
- HTTP使用BASIC认证的原理及实现方法
- HTTP使用BASIC认证的原理及实现方法
- HTTP使用BASIC认证的原理及实现方法
- 使用Apache打造完美限制的HTTP下载服务器
- 使用Apache打造完美限制的HTTP下载服务器
- BaiDu地图在自己的项目中使用(一)
- 设计模式-访问者模式
- nyoj1058 部分和问题
- 文章标题
- Android Studio 删除module
- apache 服务器禁止http方法 解决appscan 使用 HTTP 动词篡改的认证旁路漏洞
- mybatis整合spring配置文件
- How to capture video frames from the camera as images using AV Foundation on iOS
- Android Studio Error:Execution failed for task ':xxxxx:mergeDebugResources'
- No command 'mmm' found
- HDU 2795 Billboard 线段树
- EasyUI 提示框
- Linux下redis的安装
- 文章