• JBOSS禁用delete和put方法教程


    一、背景说明(与此节修复没多大关系可跳过)

    今天应用报扫描出“启用不安全的HTTP方法”漏洞需要进行修复,看后边还有IIS的修复建议;一边不满怎么用IIS一边研究了具体操作半天,由于IIS不同版本操作起来可能有不同所以看一下版本号。

    老办法访问一个不存在的页面,看到了如下 界面:

    谁妹子的说是IIS的,真妹子的误导人;不过JBoss2.0不太可能吧这是哪年的东西,难道不是JBoss?搜一下真有JBoss web这东西

    JBoss就用得少了,来个JBos Web那不是有的搞?还好有位大哥写了个安装教程,看起来不复杂。

    装完之后,看目录,这哪是像tomcat难道不是就是个tomcat?国产中间件都没你这么像啊。

    不过无所谓啊,对我们处理问题而言越像越好。

    但到应用主机上再看目录完完全全不一样啊,这是什么东西?

    (上图为本地装的jboss web的bin目录下文件的截图)

     (上图为本地装的jboss5的bin目录下文件的截图)

    难道是哪位大神把脚本全给重写了,打开run.sh开头就正规的注释,这基本不可能啊。

    灵机一动,搜下“jboss_init_redhat.sh”这种基本专有的名称会有什么结果?JBoss?有没有可能这东西根本就是JBoss而不是JBoss Web?

    去下载一个JBoss5,解压果然目录文件果然一样,再看报错果然JBoss也曝的是JBoss Web(JBoss默认只监听127.0.0.1);唉,都怪自己懂得太多了不然一早按JBoss搞早搞完了:)

    二、修复方法

    进入JBoss目录,使用find找到项目对应的web.xml

    find . -name "*web.xml"

    然后在末尾追加以下内容(当然还是得在<webapp>标签内):

      <security-constraint>
        <web-resource-collection>
            <web-resource-name>NoAccess</web-resource-name>
            <url-pattern>/*</url-pattern>
              <http-method>DELETE</http-method>
              <http-method>PUT</http-method>
              <http-method>OPTIONS</http-method>
              <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint/>
      </security-constraint>

    保存然后重启JBoss即可

    参考:

    http://blog.csdn.net/xeseo/article/details/9467319

  • 相关阅读:
    setjmp和longjmp函数使用详解
    一文搞懂HMM(隐马尔可夫模型)
    Qt多工程多目录的编译案例
    HTML中Id和Name的区别
    字符识别中的图像归一化算法
    QT工程pro设置实践(with QtCreator)----非弄的像VS一样才顺手?
    暗通道优先的图像去雾算法
    callback用法简介
    ansible 批量部署准备工作
    MySQL高级管理
  • 原文地址:https://www.cnblogs.com/lsdb/p/7607373.html
Copyright © 2020-2023  润新知