网络安全-使用HTTP动词篡改的认证旁路
这个东西去年的安全扫描都没有,今天就扫出来了,非常奇怪的一个东西。好吧,找资料找原因。结果可能应为搜索名词的原因,这个问题在群友的帮助下解决了。
在我理解中servlet只有post和get方法,然后结果怎么出来这么多奇奇怪怪的方法呢。这些方法干啥的呢?
首先找到的是一个禁用http下不安全的方法的博客,具体谁的博客我也没关注。先按照他的方法修改,修改方法也挺简单,改下tomcat的web.xml就好。
- <security-constraint>
- <web-resource-collection>
- <http-method>HEAD</http-method>
- <http-method>PUT</http-method>
- <http-method>DELETE</http-method>
- <http-method>OPTIONS</http-method>
- <http-method>TRACE</http-method>
- <url-pattern>/*</url-pattern>
- </web-resource-collection>
- <auth-constraint>
- <role-name></role-name>
- </auth-constraint>
- </security-constraint>
<security-constraint> <web-resource-collection> <http-method>HEAD</http-method> <http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name></role-name> </auth-constraint> </security-constraint>
为啥要加这个呢!找了下web.xml的说明
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。
好吧,这样就理解了,既然是一个通讯协议增加了这些方法,那么按博主的方法改掉就好了。
可惜事与愿违,使用AppScan扫描还是存在这个问题。那么就纳闷了,为啥会出现这样的情况呢?
于是找到了
AppScan问题“HTTP动词篡改导致的认证旁路”的解决方法
这篇博客,这个里面提供的思路不错,看得出来他也配置了web.xml。这样看起来要升级tomcat的节奏?
如果要升级tomcat我讲面临和那个博主一样的问题,公司层面不好解决,而且公司也不只是用tomcat。其他的应该也存在问题。
从上面可以明显看出来这个漏洞和WebDAV 这个东西其实关系并不大,主要问题在于篡改,WebDAV 只是提供了一些方法,这些方法虽然会导致一些修改或者什么的问题。但是如果是篡改了一个不存在的方法,其实结果也是一样。好吧,其实上面那个博客最大的好处不是认识到了问题的根源,而是找到一个测试神器burpsuite。再也不用苦逼的猜了。
好吧,那么就剩下一个办法,那就是自己写拦截器。拦截住除开get和post的方法。为啥不在web.xml配置这个?因为我试过了配置了之后我自己都登陆不上。
谁配置成功了可以告诉我,我是拿现在这个6.0的tomcat毫无办法。以后考虑升级到9.0。
写拦截器去了,祝福我能成功。
ok,今天加了拦截器,成功干掉了这个问题。
- <span style="white-space:pre"> </span> String method = req.getMethod();
- if(!"GET".equals(method)&&!"POST".equals(method)&&!"HEAD".equals(method))
- {
- log.error("The request with Method["+method+"] was forbidden by server!");
- response.setContentType("text/html;charset=GBK");
- response.setCharacterEncoding("GBK");
- resp.setStatus(403);
- response.getWriter().print("<font size=6 color=red>对不起,您的请求非法,系统拒绝响应!</font>");
- return;
- }
<span style="white-space:pre"> </span> String method = req.getMethod(); if(!"GET".equals(method)&&!"POST".equals(method)&&!"HEAD".equals(method)) { log.error("The request with Method["+method+"] was forbidden by server!"); response.setContentType("text/html;charset=GBK"); response.setCharacterEncoding("GBK"); resp.setStatus(403); response.getWriter().print("<font size=6 color=red>对不起,您的请求非法,系统拒绝响应!</font>"); return; }
在burpsuite上面验证,也成功的反应出了正确的消息头。
这里请记住
- resp.setStatus(403);
resp.setStatus(403);
不然是无法通过AppScan的扫描的