Aquí soy nuevo en los métodos HTTP habilitados no seguros.
El servidor permite métodos HTTP que se consideran peligrosos. los Se habilitaron los siguientes métodos:
PUT,DELETE
Software utilizado: Apache-tomcat-6.0.29.
- ¿Cómo reproducir lo mismo?
Hay varias respuestas en este sitio para exactamente esa pregunta. Al escribir HTTP method en el cuadro de búsqueda se abre:
- ¿Cómo solucionar este problema?
Bajo Tomcat, puede deshabilitar métodos específicos a través del archivo de configuración web.xml :
<security-constraint>
<web-resource-collection>
<web-resource-name><strong>restricted methods</strong></web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>POST</http-method>
<http-method>DELETE</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint />
</security-constraint>
Como @Danny señala en los comentarios, es posible que desee una lista blanca en lugar de una lista negra, y aquí hay un ejemplo de Tomcat 7 . Aquí hay una alternativa para Tomcat 6 .
Dicho esto, una lista negra suele ser suficiente para los métodos HTTP porque:
Dicho esto, si el informe de que Tomcat es sensible a las mayúsculas y minúsculas es verdadero, una lista blanca sería la forma adecuada de compensar el software de mierda.
Lea otras preguntas en las etiquetas appsec http webserver apache http-proxy