日期:2014-05-16  浏览次数:20791 次

AppScan 漏洞扫描---- "启用了不安全的HTTP方法"
asp网站,AppScan 漏洞扫描---- "启用了不安全的HTTP方法" 漏洞如何解决???

网上的解决方法:
---------------------------------------------------
9  启用了不安全的HTTP方法
9.1 原因
除标准的GET与POST方法外,HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法,他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法:
PUT,向指定的目录上传附加文件;
DELETE,删除指定的资源;
COPY,将指定的资源复制到Destination消息头指定的位置;
MOVE,将指定的资源移动到Destination消息头指定的位置;
SEARCH,在一个目录路径中搜索资源。
PROPFIND,获取与指定资源有关的信息,如作者、大小与内容类型。
TRACE,在响应中返回服务器收到的原始请求。可以使用这种方法避开阻止跨站点脚本的防御
9.2 解决
如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢?
解决方法
第一步:修改应用程序的web.xml文件的协议
1. <?xml version="1.0" encoding="UTF-8"?> 
2. <web-app xmlns="http://java.sun.com/xml/ns/j2ee" 
3. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
4. xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" 
5. version="2.4"> 

第二步:在应用程序的web.xml中添加如下的代码即可
1. <security-constraint> 
2. <web-resource-collection> 
3. <url-pattern>/*</url-pattern> 
4. <http-method>PUT</http-method> 
5. <http-method>DELETE</http-method> 
6. <http-method>HEAD</http-method> 
7. <http-method>OPTIONS</http-method> 
8. <http-method>TRACE</http-method> 
9. </web-resource-collection> 
10. <auth-constraint> 
11. </auth-constraint> 
12. </security-constraint> 
13. <login-config> 
14. <auth-method>BASIC</auth-method> 
15. </login-config> 
----------------------------------

求指教?????????????

------解决方案--------------------
我试过了 方法不管用。还有其他办法么?
------解决方案--------------------
测试返回 HTTP/1.1 403 Forbidden
Content-Length: 0
Server: Apache-Coyote/1.1
Cache-Control: private
Expires: Thu, 01 Jan 1970 08:00:00 CST
Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS
Date: Fri, 28 Sep 2012 09:57:09 GMT
Connection: close
为何都forbidden了还是报启用了不安全的HTTP方法这样的漏洞呢。。楼主解决了没?
------解决方案--------------------
哪一个页面文件?那句话看不出来吗?