漏洞:不安全的http请求方法,tomcat 禁用http method。代码解决

最新推荐文章于 2026-06-21 10:56:29 发布
原创 最新推荐文章于 2026-06-21 10:56:29 发布 · 2.9k 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java #web.xml
本文介绍了解决Tomcat服务器不支持TRACE方法的问题,通过修改server.xml和web.xml,并添加自定义过滤器来实现。
ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

问题描述:通过fiddler,使用raw重现HTTP请求,修改GET为TRACE重新请求。tomcat返回405,head 包含

Allow:POST,GET,DELETE,OPTIONS,PUT,HEAD

解决方法:使用filter进行过滤和处理。

1.修改tomcat的server.xml,允许trace方法:<Connector allowTrace="true"

 

2.修改web.xml,添加filter

  <filter>
    <filter-name>filterUtil</filter-name>
    <filter-class>com.utils.FilterUtil</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>filterUtil</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

 

 

3.添加filter类

package com.utils;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class FilterUtil implements Filter {
	Logger log=LoggerFactory.getLogger(this.getClass());
	
	@Override
	public void destroy() {
		
	}

	@Override
	public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)
			throws IOException, ServletException {
	    HttpServletRequest request = (HttpServletRequest) arg0;
	    HttpServletResponse response = ((HttpServletResponse) arg1); 
		String m=request.getMethod();
		if(!"GET".equals(m)&&!"POST".equals(m)){
			System.out.println("GET or POST only  ");
			response.setHeader("Allow", "GET,POST");
			response.setStatus(405);
			return;
		}
		arg2.doFilter(arg0, arg1);
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
	}
	
}

 按错误的method请求即可看到效果:

 

您可能感兴趣的与本文相关的镜像

ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

web漏洞-远端WWW服务支持TRACE请求
qq_35578446的博客
06-13 1万+
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。
漏洞修复:Often Misused: HTTP Method Override
CutelittleBo的博客
01-28 3377
描述 In order to protect access to various resources, web servers may be configured to prevent the usage of specific HTTP verbs. However, some web frameworks provide a way to override the HTTP method in the request by supplying specific HTTP request headers.
HTTP TRACE / TRACK Methods Allowed 漏洞修复
a815616653的博客
11-26 5457
httpd.conf添加 TraceEnable off 1
3种专业方案:SSHFS-Win远程文件访问的实战部署指南
gitblog_00622的博客
05-16 618
SSHFS-Win 是一个革命性的 Windows 文件系统工具,它通过 SSH 协议将远程 Linux 服务器的目录无缝挂载为本地网络驱动器,让远程文件访问变得如同操作本地硬盘一样直观高效。对于需要在 Windows 环境下频繁访问远程服务器文件的开发者、系统管理员和技术爱好者来说,这个工具彻底改变了工作流程,实现了跨平台文件管理的无缝整合。 ## 核心功能与适用场景 SSHFS-Win 基
HOWTO:在 Tomcat禁用 HTTP 方法
allway2的博客
07-21 2187
安全相关扫描中出现的一个常见项目是网站或Web应用程序中允许的HTTP方法。对于我们这些使用ApacheTomcat是像Apache或IIS这样的前端Web服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。安全约束虽然如ApacheWeb服务器中的那些完整,但却是保护Web应用程序的一种非常有用的方法。本HOWTO专注于在指定的URI上禁用HTTP方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。...
tomcat禁用安全http方法
lionzl的专栏
11-19 1521
 tomcat禁用安全http方法 博客分类:  java tomcatwebDav  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了
tomcat禁用必要的http方法
08-20 1555
1、打开tomcat/conf/web.xml文件 加入以下配置,将之前的web-app标签进行覆盖 <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2
禁用安全http方法
热门推荐
qq_31225293的博客
02-27 1万+
上线很久的项目,后面用curl测出了一个漏洞安全http方法 在网上搜索了很多都是一种解决办法,但是我这边都行,现在我来说说我的解决办法首先解决OPTIONS的:修改自己应用的web.xml,添加如下配置:&lt;security-constraint&gt;         &lt;web-resource-collection&gt;              &lt;url-patt...
【低危】安全HTTP方法
ak761636411的博客
02-26 1396
【1】漏洞名称:安全HTTP方法 【2】漏洞描述:安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 其他说明方式如图所示: 【3】检测案例: 步骤1:Burp...
Tomcat--启动了安全HTTP方法解决办法
JustinQin
11-18 1万+
一、问题描述 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,关闭这些HTTP请求方法,是常见的web漏洞之一。 二、解决办法 把他们关闭即可!!! 添加以下节点代码web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加,也可以在tomcat/conf/web.xml中添加 ...
HTTP TRACE请求漏洞:从原理到防御的全面解析
weixin_29322855的博客
03-23 195
本文全面解析HTTP TRACE请求漏洞的原理与防御措施,详细介绍了TRACE方法安全风险及利用方式,包括跨站追踪(XST)攻击。提供了从Apache、Tomcat到Spring Boot的多平台防护方案,并强调持续监控与边缘防护的重要性,帮助开发者有效防范Web安全威胁。
X-HTTP-Method-Override和Http Extension框架
软件开发资料汇总
01-03 430
原文:X-HTTP-Method-Override and HTTP Extension Framework 在读完 GDatas X-HTTP-Method-Override header后,我禁猜测是否Google那帮人会和我们得到同样的结论。SOAP最初的草案就是建立在 HTTP Extension Framework之上的。在那些早期的草案中,如果存在通过Web构架来获取M-POST方
Tomcat启动了安全HTTP方法解决办法
liangpingguo的博客
10-27 4035
一、漏洞描述: 目标服务器启用了安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,关闭这些HTTP请求方法,是常见的web漏洞之一。
安全HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 5911
安全HTTP请求 漏洞原理以及修复方法
漏洞挖掘-安全HTTP方法
weixin_48421613的博客
01-09 5962
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
ThinkPHP5.0 漏洞测试
WindRunnerMax
02-10 3085
ThinkPHP5.0 漏洞测试 自从ThinkPHP发布漏洞补丁以来,服务器知道多少次受到了批量扫描漏洞来抓取肉鸡的请求 虽然官方早已发布补丁,还是想试一下TP漏洞,测试两个漏洞 一、全版本执行漏洞 <!-- GET --> http://127.0.0.1/ThinkPHP/index.php?s=index/think\app/invokefunction&func...
SpringBoot禁用TRACE请求
qq_41814311的博客
08-09 4945
最近项目在做安全漏洞扫描,结果报告中有关于 远端WWW服务支持TRACE请求漏洞
HTTP请求方法安全详解:从CTF靶场到渗透测试实战
最新发布
weixin_30693683的博客
06-21 337
HTTP协议作为Web通信的基石,其请求方法定义了客户端与服务器交互的核心语义。GET、POST、PUT、DELETE等方法安全性、幂等性上存在本质差异,理解这些特性对于构建安全Web应用至关重要。从安全测试视角看,非安全方法若配置当,可能引发SQL注入、文件上传、信息泄露等严重漏洞。例如,OPTIONS方法可用于探测服务器支持的功能,暴露潜在攻击面;而PUT方法若缺乏严格校验,可能成为上传Webshell的直接通道。在CTF靶场和真实渗透测试中,通过工具链对HTTP方法进行自动化探测与利用,是发
HTTP TRACE请求漏洞实战:如何用BurpSuite和CURL快速检测与修复
weixin_29325955的博客
03-26 332
本文详细解析了HTTP TRACE请求漏洞的原理与危害,并提供了使用BurpSuite和CURL进行专业检测的实战方法。针对Apache、Tomcat和Spring Boot等同环境,给出了企业级修复方案,帮助安全工程师快速识别和修复这一常见Web安全漏洞
tomcat下配置web.xml修复安全请求方法漏洞
ssf1987的专栏
01-09 1970
1、黑名单方式: &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;web-resource-name&gt;fortune&lt;/web-resource-name&gt; &lt;url-pattern&gt;/*&lt;/url-pattern&...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值