最近產品要進行安全漏洞檢查,發現安全的http方法的驗證方案。通過網上找了一些方案,我總結有兩種:
一、通過pound前置機來解決,我通過網上的方案驗證沒有通過(原因沒有詳查),方案可《
二、通過修改web.xml解決,但是根據網上的方案進行配置,但是問題沒有解決掉。最後無奈我重置了所有的配置檔案,一步一步的檔案迭代調測,最後解決掉了。
最後終結網上的方案是沒有問題的,只有有幾個非常重要的關鍵點要注意,否則會失敗,我使用的方案和步驟如下:
test
/*put
delete
head
options
trace
basic
二、修改tomcat中自身conf下的web.xml 方法與
一、修改自己的應用服務中的conf下的web.xml 配置檔案的方案一致。(此步驟必須要進行)
三、關於關注、
1、一般安全掃瞄的處理方案,應用程式的web.xml與tomcat的web.xml都要同時修改
2、協議一定要修改(盡量保持按2.4的版本,即version="2.4")
不安全的HTTP方法
使用options方法列出伺服器使用的http方法。注意,不同目錄中啟用的方法可能各不相同。許多時候,被告知一些方法有效,但實際上它們並不能使用。有時,即使options請求返回的響應中沒有列出某個方法,但該方法仍然可用。手動測試每乙個方法,確認其是否可用。使用curl傳送options請求,檢視響...
關於HTTP中put方法不安全的問題
我敢很確定的說,從http協議的角度來說,put方法並不存在是否安全的問題,它和其他的協議一樣,只是標誌為type不同 他們的http協議中字段是不同的,但是影響不大,只是瀏覽器的同源策略的問題 http他只是乙個協議,乙個規則。他自身沒有是否安全,而不安全的只能說是根據http設計的伺服器是不安全...
安全問題 解決不安全的redis連線方式
redis是乙個key value儲存系統。當服務需要執行大量查詢操作時需要用到它。近期通過安全掃瞄,發現如果服務沒有通過密碼連線redis時,會報錯 不安全的redis連線方式。為了解決這個安全問題,通常需要給redis設定密碼,讓服務通過密碼連線redis。永久性方案 修改配置檔案 步驟一 在r...