Apache Tomcat 服务器禁用非安全的HTTP方法（PU

作者: 红树_ | 来源:发表于2024-01-17 16:23 被阅读0次

Tomcat安装详解
搭载版本升级服务器
TOMACAT服务器的安装和配置
[Java] Mac下安装tomcat关联eclipse
apache nginx tomcat iis 禁用OPTION
Tomcat 部署项目的三种方法
Tomcat
Tomcat
Tomcat部署
Tomcat

渗透测试发现 WebDAV 的远程代码执行漏洞，主要是服务器未禁止除 get 和 post 以外的 HTTP 方法，如 PUT 、DELETE、OPTIONS 方法等。如下所示：

对于 Tomcat 8 服务器，解决方法是在项目的web.xml中添加安全访问策略。为方便拷贝，代码如下：

    <!-- 禁用非安全方法 加上auth-constraint验证 -->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>NoAccess</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint/>
    </security-constraint>

    <!-- GET/POST 不需auth-constraint 此段可去掉 -->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>AllowedMethods</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>
    </security-constraint>
  
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>

security-constraint 限制对指定资源的访问。
web-resource-collection 指定资源集合，可定义 URL 或 HTTP 方法，若不指定HTTP方法则应用于所有HTTP方法。
web-resource-name 资源名称，随意取。
http-method 指定一个HTTP方法。
auth-constraint 指定可以访问该资源集合的用户角色，若未指定则所有角色都不可访问。
role-name 指定角色名称。
user-data-constraint 配置如何保护在客户端和Web容器之间传递的数据。
transport-guarantee 需指定以下三个之一：
NONE，不需要传输保证。
INTEGRAL，服务器和客户端之间的数据必须以某种方式发送，而且在传送中不能改变。
CONFIDENTIAL，传输的数据必须是加密的数据。
一般安全套接字层(SSL)用于INTEGRAL或CONFIDENTIAL。
login-config 指定验证方法、领域名和表单验证机制所需的特性。
BASIC(基本验证)：通过HTTP验证，需要提供base64编码文本的用户口令。
DIGEST(摘要验证)：通过HTTP验证，需要提供摘要编码字符串的用户口令。
FORM(表单验证)：在网页的表单上要求提供密码。
CLIENT-CERT(客户端证书验证)：以客户端证书来确认用户的身份。