国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<form id="eb0ep"><nav id="eb0ep"></nav></form>

PUT/DELETE 為何成了 HTTP 協(xié)議中的不安全方法

2年前作者：情字何解？搬磚分類(lèi)：Toy博客閱讀(19)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了PUT/DELETE 為何成了 HTTP 協(xié)議中的不安全方法。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

要求：禁止使用不安全的 HTTP 方法，例如 PUT、DELETE 等。

緣由 1：Tomcat PUT 的上傳漏洞，受影響的版本：Apache?Tomcat 7.0.0 to 7.0.79

當(dāng) Tomcat 運(yùn)行在 Windows 操作系統(tǒng)時(shí)，且啟用了 HTTP PUT 請(qǐng)求方法（例如，將 readonly 初始化參數(shù)由默認(rèn)值設(shè)置為 false），攻擊者將有可能可通過(guò)精心構(gòu)造的攻擊請(qǐng)求數(shù)據(jù)包向服務(wù)器上傳包含任意代碼的 JSP 文件，JSP 文件中的惡意代碼將能被服務(wù)器執(zhí)行。導(dǎo)致服務(wù)器上的數(shù)據(jù)泄露或獲取服務(wù)器權(quán)限。

利用條件：

Apache Tomcat 默認(rèn)開(kāi)啟 PUT 方法，org.apache.catalina.servlets.DefaultServlet 的 readonly 默認(rèn)為 true，需要手動(dòng)配置 readonly 為 false 才可以進(jìn)行漏洞利用，而且默認(rèn)沒(méi)有在 Tomcat/conf/web.xml 里寫(xiě)。

緣由 2： Nginx 在開(kāi)啟 WebDAV 模式下，如果未配置認(rèn)證模式，攻擊者可以通過(guò)自由上傳文件方法上傳木馬攻擊服務(wù)器。

WebDAV 簡(jiǎn)介

WebDAV（Web-based Distributed Authoring and Versioning）是基于 HTTP/1.1 的增強(qiáng)協(xié)議。該協(xié)議使用戶(hù)可以直接對(duì) Web 服務(wù)器進(jìn)行文件讀寫(xiě)，并支持對(duì)文件的版本控制和寫(xiě)文件的加鎖及解鎖等操作。說(shuō)白了，Nginx 就是開(kāi)啟 WebDAV 這個(gè)協(xié)議后，可以當(dāng)做一個(gè)文件服務(wù)器，允許用戶(hù)在遠(yuǎn)端向本地一樣進(jìn)行讀寫(xiě)操作，當(dāng)然也包括上傳文件。

由于 Nginx 在設(shè)計(jì)時(shí)，或許是為了減輕小白的上手難度，在開(kāi)啟 WebDAV 時(shí)沒(méi)有強(qiáng)制要求用戶(hù)必須配置訪(fǎng)問(wèn)認(rèn)證，這導(dǎo)致了某些 SB 用戶(hù)在公網(wǎng)上開(kāi)啟了 WebDAV 而沒(méi)有進(jìn)行認(rèn)證配置，從而導(dǎo)致了安全問(wèn)題。而且由于 WebDAV 支持的協(xié)議有?PUT、DELETE、MKCOL、COPY 和 MOVE 等，其中 PUT、DELETE 與 HTTP 方法中的 PUT、DELETE 協(xié)議重合，便被安全部門(mén)給一刀切了。

WebDAV 安全風(fēng)險(xiǎn)

PUT：由于 PUT 方法自身不帶驗(yàn)證機(jī)制，利用 PUT 方法可以向服務(wù)器上傳文件，所以惡意攻擊者可以上傳木馬等惡意文件。

DELETE：利用 DELETE 方法可以刪除服務(wù)器上特定的資源文件，造成惡意攻擊。

OPTIONS：將會(huì)造成服務(wù)器信息暴露，如中間件版本、支持的 HTTP 方法等。

TRACE：可以回顯服務(wù)器收到的請(qǐng)求，主要用于測(cè)試或診斷，一般都會(huì)存在反射型跨站漏洞。

總結(jié)： PUT/DELETE 在 HTTP 協(xié)議中是否安全主要跟代碼邏輯相關(guān)，并非是使用了這種方法就造成訪(fǎng)問(wèn)不安全，由于代碼是運(yùn)行在容器中，如果容器配置不當(dāng)，會(huì)導(dǎo)致一些安全風(fēng)險(xiǎn)，安全工程師并不理解代碼背后的邏輯，從而將 PUT、DELETE 給一刀切了。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-422080.html

到了這里，關(guān)于PUT/DELETE 為何成了 HTTP 協(xié)議中的不安全方法的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶(hù)投稿，該文觀(guān)點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

http協(xié)議為何不安全？教你使用抓包抓取到登錄時(shí)輸入的賬號(hào)密碼！
大家可以發(fā)現(xiàn)，在2023年，基本上需要用戶(hù)輸入數(shù)據(jù)的網(wǎng)站都是使用https協(xié)議，簡(jiǎn)單來(lái)說(shuō)就是比http更安全，使用了更高級(jí)的加密方式，即使部分網(wǎng)站使用http協(xié)議，用戶(hù)輸入數(shù)據(jù)也會(huì)使用哈希函數(shù)或者其他加密方式，http協(xié)議為什么不安全呢？我們不妨親自抓包感受一下，自己輸
2024年02月07日
瀏覽(24)
HTTP中的POST和PUT有什么區(qū)別？
根據(jù) RFC 2616, § 9.5，POST 用于創(chuàng)建一個(gè)資源： POST 方法用于請(qǐng)求源服務(wù)器接受請(qǐng)求中包含的實(shí)體，作為 Request-Line 中 Request-URI 標(biāo)識(shí)的資源的新下級(jí)。根據(jù) RFC 2616, § 9.6，PUT 用于創(chuàng)建或替換資源： PUT 方法請(qǐng)求將封閉的實(shí)體存儲(chǔ)在提供的 Request-URI 下。如果 Request-URI 引用了一個(gè)已
2024年02月02日
瀏覽(24)
為AIGC敲響警鐘！千億級(jí)賽道為何成了作惡溫床？
?數(shù)據(jù)智能產(chǎn)業(yè)創(chuàng)新服務(wù)媒體 ——聚焦數(shù)智?· 改變商業(yè) 隨著人工智能通用大模型的問(wèn)世，全球?qū)IGC技術(shù)的強(qiáng)大潛力有了更加深刻的認(rèn)識(shí)。然而，這也引發(fā)了諸多關(guān)于AIGC技術(shù)可信度、隱私保護(hù)以及知識(shí)產(chǎn)權(quán)等問(wèn)題的爭(zhēng)議，引起了廣泛關(guān)注。 5月9日，抖音針對(duì)人工智能生成內(nèi)
2024年02月09日
瀏覽(61)
在網(wǎng)絡(luò)安全、爬蟲(chóng)和HTTP協(xié)議中的重要性和應(yīng)用
1. Socks5代理：保障多協(xié)議安全傳輸 Socks5代理是一種功能強(qiáng)大的代理協(xié)議，支持多種網(wǎng)絡(luò)協(xié)議，包括HTTP、HTTPS和FTP。相比之下，Socks5代理提供了更高的安全性和功能性，包括：多協(xié)議支持： Socks5代理不僅支持HTTP協(xié)議，還可以應(yīng)用于FTP等多種協(xié)議，為不同應(yīng)用場(chǎng)景提供全面支持
2024年02月06日
瀏覽(23)
深入理解DELETE請(qǐng)求：探索HTTP中的資源刪除操作
DELETE請(qǐng)求是HTTP協(xié)議中一種重要的請(qǐng)求方法，用于刪除指定的資源。在Web開(kāi)發(fā)中，DELETE請(qǐng)求被廣泛應(yīng)用于與數(shù)據(jù)庫(kù)或文件系統(tǒng)交互的操作，如刪除用戶(hù)、刪除文章等。本博客將深入探討DELETE請(qǐng)求的作用、特點(diǎn)和用法，并與其他HTTP請(qǐng)求方法進(jìn)行比較。 DELETE請(qǐng)求是HTTP協(xié)議中用于刪
2024年02月08日
瀏覽(19)
Hbase 常用 shell 操作：增刪改查(create、put、delete、scan)
1、表分區(qū)也清除掉，需重新建表： 2、表分區(qū)不變，只清空表數(shù)據(jù)，不需要重新建表： create ‘hbase表名’ ,‘列族名1’,‘列族名2’,\\\'列族名N’ put ‘hbase表名’,‘rowkey’,‘列族：列名’,\\\'值’ hbase表是列存儲(chǔ)，所以不能跟mysql表一次插入一行數(shù)據(jù)，只能按列一個(gè)一個(gè)插入，比
2023年04月12日
瀏覽(25)
PUT和DELETE部署在內(nèi)網(wǎng)服務(wù)器后外網(wǎng)無(wú)法請(qǐng)求的問(wèn)題
這問(wèn)題困擾我好幾天，本身就不是搞運(yùn)維的，且實(shí)習(xí)時(shí)長(zhǎng) 倆年半半年的小辣雞，被趕鴨子上架系統(tǒng)部署在甲方的內(nèi)網(wǎng)服務(wù)器里，然后他們通過(guò) VLAN穿透到外網(wǎng)訪(fǎng)問(wèn) （我也聽(tīng)不懂是什么意思）系統(tǒng)部署在內(nèi)網(wǎng)服務(wù)器后，登錄上去康康，發(fā)現(xiàn)在外網(wǎng)情況下有些接口可以使用有
2024年02月02日
瀏覽(78)
HTTP與HTTPS：深度解析兩種網(wǎng)絡(luò)協(xié)議的工作原理、安全機(jī)制、性能影響與現(xiàn)代Web應(yīng)用中的重要角色
HTTP (HyperText Transfer Protocol) 和 HTTPS (Hypertext Transfer Protocol Secure) 是互聯(lián)網(wǎng)通信中不可或缺的兩種協(xié)議，它們共同支撐了全球范圍內(nèi)的Web內(nèi)容傳輸與交互。本文將深度解析HTTP與HTTPS的工作原理、安全機(jī)制、性能影響，并探討它們?cè)诂F(xiàn)代Web應(yīng)用中的核心角色。 HTTP 是一種應(yīng)用層協(xié)議
2024年04月11日
瀏覽(37)
Postman+Java springboot演示 get post put delete請(qǐng)求并攜帶(路徑路徑問(wèn)號(hào)后 json 表單)參數(shù)形式
我們先創(chuàng)建一個(gè)java的springboot工程在項(xiàng)目中找到啟動(dòng)類(lèi)的位置目錄在項(xiàng)目創(chuàng)建一個(gè)類(lèi) 叫 user 我是想將 user 當(dāng)做一個(gè)屬性類(lèi)的按規(guī)范來(lái)講我們可以創(chuàng)建一個(gè)entity包然后在下面去創(chuàng)建屬性類(lèi) 但這里我們不想搞那么麻煩了畢竟只是練習(xí)一下然后 user參考代碼如下這里只是定
2024年02月06日
瀏覽(27)
ruoyi若依前后端分離項(xiàng)目部署到服務(wù)器后，PUT DELETE請(qǐng)求403錯(cuò)誤，GET POST請(qǐng)求正常
后端打包方式war,部署到tomcat8, PUT DELETE請(qǐng)求報(bào)403錯(cuò)誤，網(wǎng)上有三種說(shuō)法第一種是跨域請(qǐng)求問(wèn)題第二種是服務(wù)器沒(méi)有放開(kāi)了PUT DELETE請(qǐng)求，需要前端添加header ruoyi vue 自動(dòng)生成代碼PUT DELETE為http不安全方法，這個(gè)怎么解決安全問(wèn)題 · Issue #I43AX6 · 若依/RuoYi-Vue - Gitee.com 用域名訪(fǎng)問(wèn)
2024年01月17日
瀏覽(70)

<pre id="klqsr"></pre>

<bdo id="klqsr"></bdo>

<option id="klqsr"><rt id="klqsr"></rt></option>