Metodi HTTP non sicuri abilitati - come controllare? [chiuso]

-3

Qui sono nuovo per i metodi HTTP non sicuri abilitati.

The server allows HTTP methods that are considered dangerous. The following methods were enabled: PUT,DELETE

Software utilizzato: Apache-tomcat-6.0.29.

  1. Come riprodurre lo stesso?
  2. Come risolvere questo problema / problema?
posta Ramakrishnan M 18.06.2015 - 08:18
fonte

1 risposta

3
  1. How to reproduce the same?

Ci sono più risposte su questo sito esattamente per quella domanda. Digitando HTTP method nella casella di ricerca viene visualizzato:

  1. How to fix this problem issue?

Sotto Tomcat, puoi disabilitare i metodi specifici tramite il file di configurazione web.xml :

 <security-constraint>
 <web-resource-collection>
  <web-resource-name><strong>restricted methods</strong></web-resource-name>
  <url-pattern>/*</url-pattern>
  <http-method>PUT</http-method>
  <http-method>POST</http-method>
  <http-method>DELETE</http-method>
  <http-method>OPTIONS</http-method>
  <http-method>TRACE</http-method>
 </web-resource-collection>
 <auth-constraint />
 </security-constraint>

Come @Danny fa notare nei commenti, potresti volere una lista bianca anziché una lista nera e ecco un esempio di Tomcat 7 . Ecco una alternativa per Tomcat 6 .

Detto questo, una lista nera è spesso sufficiente per i metodi HTTP perché:

  • C'è un elenco ragionevolmente statico / immutabile di ciò che è supportato,
  • I metodi non supportati vengono generalmente ignorati da qualsiasi server Web competente

Detto questo, se il report di Tomcat che fa distinzione tra maiuscole e minuscole è vero, una whitelist sarebbe il modo appropriato per compensare il software scadente.

    
risposta data 18.06.2015 - 12:32
fonte

Leggi altre domande sui tag