2. 程式人生 > 實用技巧 >修復UNIGUI安全掃描出現“啟用了不安全的 HTTP 方法”

修復UNIGUI安全掃描出現“啟用了不安全的 HTTP 方法”

阿新 發佈:2020-11-13

使用1.90.0.1535編譯的應用做安全掃描時發現有“啟用了不安全的HTTP方法”,這個漏洞的影響是:可能會在Web伺服器上上載、修改或刪除Web頁面、指令碼。

如果使用Tomcat修復很簡單,直接修改的web.xml就可以:

 <security-constraint>
 <web-resource-collection>
 <web-resource-name>fortune</web-resource-name>
    <url-pattern>/*</url-pattern>
    <http-method>
 
PUT</http-method>
    <http-method>DELETE</http-method>
    <http-method>HEAD</http-method>
    <http-method>OPTIONS</http-method>
    <http-method>TRACE</http-method>
 </web-resource-collection>
 <auth-constraint></auth-constraint>
 </
 
security-constraint>

需然用AWS能掃出這漏洞,但驗證後發現UniGui編譯的伺服器並沒實現HEAD,DELETE,PUT,TRACE,OPTION,這些命令的功能需要自行編寫才可以。
知道原因後解決起來很簡單:當執行HEAD,DELETE,PUT,TRACE,OPTION等命令時直接返回403就可以。在ServerModule單元HTTPCommand新增下面的程式碼就可以。

procedure UniGUIServerModuleHTTPCommand(ARequestInfo: TIdHTTPRequestInfo;
AResponseInfo: TIdHTTPResponseInfo; var Handled: Boolean);

procedure TUniServerModule.UniGUIServerModuleHTTPCommand(
  ARequestInfo: TIdHTTPRequestInfo; AResponseInfo: TIdHTTPResponseInfo;
  var Handled: Boolean);
begin
  if (ARequestInfo.CommandType =hcHEAD) or
   (ARequestInfo.CommandType =hcPUT) or
   (ARequestInfo.CommandType =hcTRACE) or
   (ARequestInfo.CommandType =hcOPTION) or
   (ARequestInfo.CommandType =hcDELETE) then
  begin
      Handled := false;
      AResponseInfo.ResponseText:='Fail';
      AResponseInfo.ResponseNo:=403;
      AResponseInfo.CloseConnection:=true;
      AResponseInfo.Server:='D2021';
      AResponseInfo.CharSet := 'UTF-8';
      AResponseInfo.ContentType := 'Text';
      AResponseInfo.ContentText := '本軟體不支援HEAD,DELETE,PUT,TRACE,OPTION等命令!';
  end;
end;

相關推薦

修復UNIGUI安全掃描出現啟用安全HTTP 方法

使用1.90.0.1535編譯的應用做安全掃描時發現有“啟用安全HTTP方法”,這個漏洞的影響是:可能會在Web伺服器上上載、修改或刪除Web頁面、指令碼。

C#如何在安全的上下文中使用安全的程式碼?

文章原文:https://www.cnblogs.com/2Yous/p/4887904.html 從通常情況下來看,為了保持型別安全,預設情況C# 支援指標演算法。

未達到系統要求,微軟 Win11 Beta / Release 預覽版也出現水印(附去除方法

3 月 16 日訊息,微軟今日向 Win11Beta / Release 預覽版使用者推送Build 22000.588(KB5011563)更新,帶來多項 Bug 修復。然而更新日誌中沒有提到,在更新到該版本後,受支援的電腦也將出現類似 Dev 預覽版的

ConcurrentBag執行緒安全,List執行緒安全,示例

class Program { static void Main(string[] args) { ListTest(); ConcurrentBagTest(); } public staticvoid ConcurrentBagTest()

Windows10系統出現DNS異常上網的解決方法

使用Windows10系統的時候總是會出現各種奇葩問題,比如開啟網頁出現DNS異常,DNS異常會導制我們無法上網。這個問題不大,在影響系統的情況下,我們還是可以修復的。下面小編教你win10系統dns錯誤無法上網的解決教程

300 萬元瞬間沒!杭州公安最新預警:“安全防護” App 安全

10月5日訊息近期,浙江省杭州市公安局反欺詐中心最新預警,“安全防護” APP 安全。據杭州市公安局反欺詐中心訊息,杭州最近發生多起冒充公檢法詐騙案件。

sqlserver增加欄位報錯:“允許儲存更改。您所做的更改要求刪除並重新建立以下表,您對無法重新建立的表進行更改或者啟用“阻止儲存要求重新建立表的更改”選項

報錯:“允許儲存更改。您所做的更改要求刪除並重新建立以下表,您對無法重新建立的表進行更改或者啟用了“阻止儲存要求重新建立表的更改”選項解決辦法: 開啟 SQL Server 2014 Management Studio 並登

jar、war 和 SpringBoot 載入包內外資源的方式總結,你再也出現FileNotFoundException

工作中常常會用到檔案載入,然後又經常忘記,印象深,沒有系統性研究過,從最初的war包專案到現在的springboot專案,從載入外部檔案到載入自身jar包內檔案,也發生許多變化,這裡開一貼,作為自己的備忘錄,也希

蘋果 iOS 15 針對兒童安全掃描”iPhone 相簿,眾網友領情,安全專家稱轉投安卓手機

蘋果即將推出的新功能可掃描使用者所有照片。 這一訊息剛剛宣佈,就讓廣大使用者們集體炸鍋

SimpleDateFormat執行緒安全?這裡有5種解決方案

摘要:我們知道SimpleDateFormat是執行緒安全,本文會介紹多種解決方案來保證執行緒安全

spring boot從零搭建後臺基礎服務架構,包你看後悔

目前大多專案是前後端分離。在後臺介面服務開發過程中,往往我們需要先搭建一個基礎服務,比如登入註冊功能、自動對所有的介面進行token的安全校驗等,這樣可以防範安全問題的出現。並且這樣後續的同事可以只關注業務

?在Spring事務管理下,Synchronized為啥還執行緒安全

前言 文字已收錄至我的GitHub倉庫,歡迎Star:github.com/bin39232820…種一棵樹最好的時間是十年前,其次是現在

HashMap在多執行緒下安全問題(JDK1.7)

本文分析是基於JDK1.7的HashMap 多執行緒情況下HashMap所帶來的問題 多執行緒put操作後,get操作導致死迴圈。

HashMap:儲存結構、擴容機制和執行緒安全解決

1.什麼是HashMap 1.1 什麼是map? 1.key-value格式儲存集合類 2.key必須唯一,無重複值

StringBuilder為什麼執行緒安全

引言 週五去面試又被面試的一個問題問啞巴 面試官:StringBuilder和StringBuffer的區別在哪?

MySQL版本低支援兩個時間戳型別的值解決方法

MySQL報錯:錯誤程式碼: 1293 Incorrect table definition; there can be only one TIMESTAMP column with CURRENT_TIMESTAMP

w10系統玩傳奇如何解決_w10系統玩傳奇的處理方法

近日有不少網友跟小編反映說自己安裝win10系統後,在使用的過程中遇到w10系統玩不了傳奇的情況。使用者知道怎麼解決很是苦惱,沒關係,下面小編以win10精簡版為例,來教大家w10系統玩不了傳奇的處理方法

win10電腦卡住動如何安全關機?緊急重啟電腦的方法

我們使用win10官方版系統都曾遇到過宕機、卡機等問題,如果半天沒反應,這時候大家一般是都選擇按電腦的關機鍵進行強制關機,然後再重啟。這種操作對電腦的硬體特別是損傷的,有什麼其他安全的辦法呢?這裡小編為大家

Win10系統啟用啟用有什麼區別?啟用Win10系統的方法步驟

電腦安裝好Win10系統後發現沒有啟用,於是有人詢問說Win10系統啟用不啟用有什麼區別?能不能不啟用呢?如果系統未啟用,會導致Win10系統出現各種卡,平均每隔1-3分鐘電腦就出現卡頓。所以,升級安裝win10系統需要啟

升級win10 1909系統後wifi能連上卻上網的解決方法

近日有不少網友跟小編反映說自己在升級win10 1909系統後,出現了wifi能連上卻上不了網的情況。很是影響自己使用電腦,那我們要怎麼解決這個問題呢?下面小編就來為大家分享關於升級win10 1909系統後wifi能連上卻上