AppScan-Authentication Bypass Using HTTP Verb Tampering
2017-07-09 01:57
531 查看
话说到盖哥我继前段时间各个行业同时进行各个版本平台的安全测试,为此大忙特忙了一段时间,之后就开始重返之前的工作内容了。
经过之前的工作,也开始有点了解Web安全相关的知识了,虽然买的书还没怎么看,但那时在工作中了解了一些xss,csrf,sql注入等等相关的知识以及怎么去防御。
上周又被甩了一个锅过来,其中一个就是标题描述的缺陷,字面意思翻译过来就是【通过篡改http请求类型来绕过Web授权及认证】,分析了下appscan的攻击案例的时候我是一脸萌比的:本来是get类型的请求,把get换成一个不存在的请求类型竟然能正常请求并且返回正常的网页内容。
利用postman模拟正常请求,用fiddler拦截请求并修改请求类型为SHIT,竟然真的能正常返回(解释下背景,平台带apache和tomcat)。
另外设置`tomcat的web.xml
也没有任何效果。
后来想在apache中拦截掉不存在或者不想接收的请求,才找到解决方案:修改apache/conf/httpd.conf,增加网络空间Location的配置项
再次测试发现SHIT请求或者其他不在LimitExcept中的类型都会被拦截并且返回403错误(服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误),问题到此解决完成,记录一下。
经过之前的工作,也开始有点了解Web安全相关的知识了,虽然买的书还没怎么看,但那时在工作中了解了一些xss,csrf,sql注入等等相关的知识以及怎么去防御。
上周又被甩了一个锅过来,其中一个就是标题描述的缺陷,字面意思翻译过来就是【通过篡改http请求类型来绕过Web授权及认证】,分析了下appscan的攻击案例的时候我是一脸萌比的:本来是get类型的请求,把get换成一个不存在的请求类型竟然能正常请求并且返回正常的网页内容。
利用postman模拟正常请求,用fiddler拦截请求并修改请求类型为SHIT,竟然真的能正常返回(解释下背景,平台带apache和tomcat)。
另外设置`tomcat的web.xml
<security-constraint> <web-resource-collection> <web-resource-name>Allowed methods</web-resource-name> <url-pattern>/*</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> </web-resource-collection> </security-constraint> <security-constraint> <web-resource-collection> <web-resource-name>Restricted methods</web-resource-name> <url-pattern>/</url-pattern> </web-resource-collection> <auth-constraint /> </security-constraint>
也没有任何效果。
后来想在apache中拦截掉不存在或者不想接收的请求,才找到解决方案:修改apache/conf/httpd.conf,增加网络空间Location的配置项
<Location /> <LimitExcept GET POST OPTIONS CONNECT PROPFIND /> Order allow deny Deny from all </LimitExcept> </Location>
再次测试发现SHIT请求或者其他不在LimitExcept中的类型都会被拦截并且返回403错误(服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误),问题到此解决完成,记录一下。
相关文章推荐
- 启用了不安全的HTTP方法解决办法 IBM APPSCAN
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- AppScan修复漏洞:启用不安全的HTTP方法
- basic-http-authentication-in-asp-net-web-api-using-message-handlers asp.net mvc4 web api authentication
- How to setup Git http authentication using LDAP in Apache
- PopOverView(http://mobiforge.com/designing/story/using-popoverview-ipad-app-development)
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- HttpWebRequest using Basic authentication
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- Using POST method in XMLHTTPRequest(Ajax)
- iOS9 beta 请求出现App Transport Security has blocked a cleartext HTTP (http://)
- Example: Develop Web application on Baidu App Engine using CherryPy
- Detecting HTTP Load Balancers using Halberd
- AppScan使用
- App - PHP缓存抓取http缓存
- IBM Security Appscan漏洞--跨站点请求伪造
- http://venkatbaggu.com/file-upload-in-asp-net-mvc-using-dropzone-js-and-html5/
- AppScan安装出错:无法从.NET运行时安全策略中注销Appscan 解决方案
- HTTP Basic Authentication验证WCF Data Service
- POST a string and an image in one request using HttpClient