最近老是听朋友说被上级单位通报HTTP不安全方法漏洞,本来是低危漏洞也没怎么注意它,最近升为中危漏洞每天催着去整改,闹得人心惶惶甚至经常被维护人员吐槽,做的是得不偿失的事情
因此,有必要说明一下为什么要禁止除GET和POST之外的HTTP方法。
换句话说对于这些HTTP不安全方法,到底有多不安全呢
根据HTTP标准,HTTP请求可以使用多种方法其功能描述如下所示。
2、测试是否能通过PUT上传文件
原文发布于微信公众号 - PHP技術大全(phpgod)
本文参与欢迎正在阅读的你也加入,一起分享
使用了360网站安全检测 查到有OPTIONS方法
苐二步:在应用程序的中添加如下的代码即可
重新部署程序重启tomcat处理请求即可完成
如果用户要验证既可以将POST和GET也添加在其中,重新部署並启动tomcat处理请求即可看到效果
以上的代码添加到某一个应用中也可以添加到tomcat处理请求的中,区别是添加到某一个应用只对某一个应用有效如果添加到tomcat处理请求的web.xml中则对tomcat处理请求下所有的应用有效。
主流三个上传姿势来一一验证
第一个:/ ,由于tomcat处理请求存在去掉最后的 / 的特性,此方法影响所有的Apache tomcat处理请求 版本
第二个姿势:NTFS文件系统::$DATA特性绕过(文件上传也可以尝试)
第三个为:. 或%20 自行尝试
1.用户可以禁用PUT方法来防护此漏洞设置为false。
ps:萌新一枚余生很长,请多指教