tomcat下禁用不安全的http方法 ,这个漏洞怎么解决???照着网上的教程配置还是被IBM Rational AppScan 8.0扫描出来

黑帽子 发布于 2013/08/14 09:56
阅读 3K+
收藏 0

第一步:修改应用程序的web.xml文件的协议

Xml代码  

<?xml version="1.0" encoding="UTF-8"?>  

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"  

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  

    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  

    version="2.4">  

<?xml version="1.0" encoding="UTF-8"?>

第二步:在应用程序的web.xml中添加如下的代码即可

Xml代码  

  <security-constraint>  

   <web-resource-collection>  

      <url-pattern>/*</url-pattern>  

      <http-method>PUT</http-method>  

<http-method>DELETE</http-method>  

<http-method>HEAD</http-method>  

<http-method>OPTIONS</http-method>  

<http-method>TRACE</http-method>  

   </web-resource-collection>  

   <auth-constraint>  

   </auth-constraint>  

 </security-constraint>  

 <login-config>  

   <auth-method>BASIC</auth-method>  

 </login-config>  

     


重新部署程序,重启tomcat即可完成 

如果用户要验证既可以将POST和GET也添加在其中,重新部署并启动tomcat即可看到效果 

以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。 

网上都是这个配置方法,但是我配置后还是不行,有没有其他解决方法,求大神打救。。。

加载中
0
天冫桁
天冫桁
大哥这个问题,你是怎么解决的?怎样才能让测试工具通过
蓝德
将GET也配置进去,然后用url访问一个路径,提示403错误;去掉get后正常访问,证明配置生效,也可以使用curl -v -X OPTIONS http:/localhost:8080/test.htm命令
0
wind_wp
wind_wp
求教这个问题怎么解决的
返回顶部
顶部