当前位置: 首页 > news >正文

OPTIONS 漏洞修复

文章目录

  • 前言:OPTIONS 漏洞说明
  • Nginx 修复方法
    • 环境说明
    • 修复测试
  • Tomcat 修复方法
    • 环境说明
    • 修复测试
    • Tomcat 版本:8.5.3 测试
  • SpringBoot 项目修复方法
    • 环境说明
    • 修复测试
  • 总结


前言:OPTIONS 漏洞说明

漏洞名称 : OPTIONS method is enabled

风险级别: 低

漏洞原因 : 可以通过 OPTIONS 方法访问 HTTP 服务

漏洞说明: OPTIONS 方法是用于请求获得由 Request-URI 标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感信息,这些信息将帮助攻击者准备更进一步的攻击。

不同的项目,可以通过不同的方法进行修复,在此记录一下几种情况:

  1. 更改 Nginx 的配置;
  2. 更改 Tomcat 参数;
  3. SpringBoot 项目增加过滤器。

Nginx 修复方法

说明:项目前置 Nginx,通过 Nginx 配置阻止 OPTIONS 方法的访问。

环境说明

Nginx 环境

操作系统:CentOS Linux release 7.4.1708 (Core)

Nginx 版本:1.22.0


测试环境

测试操作系统: Windows 11

测试工具 : Postman v9.19.0

修复测试

直接启动 Nginx ,使用 Postman 访问默认的 80 端口, Postman 截图如下:

在这里插入图片描述

说明:

  • 默认没有开启 options 方法。
  • 如果做转发测试,还要再搭建其他服务,只想测试一下而已。动一下手脚,改一下吧!

更改 /etc/nginx/conf.d/default.conf 配置文件:

server {
    listen       80;
    server_name  localhost;

    #access_log  /var/log/nginx/host.access.log  main;

    location / {
        ##### 只增加这里的配置,其他配置为默认 #####
        ##### 增加支持 OPTIONS 方法 #####
        add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
        ##### 增加 OPTIONS 方法的返回结果 #####
        if ($request_method = 'OPTIONS') {
            return 204;
        }
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    # proxy the PHP scripts to Apache listening on 127.0.0.1:80
    #
    #location ~ \.php$ {
    #    proxy_pass   http://127.0.0.1;
    #}

    # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
    #
    #location ~ \.php$ {
    #    root           html;
    #    fastcgi_pass   127.0.0.1:9000;
    #    fastcgi_index  index.php;
    #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
    #    include        fastcgi_params;
    #}

    # deny access to .htaccess files, if Apache's document root
    # concurs with nginx's one
    #
    #location ~ /\.ht {
    #    deny  all;
    #}
}

返回结果变为 204

在这里插入图片描述

如需要禁止 OPTIONS 方法,则配置文件中的返回结果更改为 403 即可:

if ($request_method ~* OPTIONS) {
    return 403;
}

修复后,使用 Postman 访问,方法及结果如下:

在这里插入图片描述

说明:这个比较容易理解,Nginx 拦截 request_method 是 OPTIONS 的请求,并返回 403。

Tomcat 修复方法

说明:新版 Tomcat 已经修复了。
修复方法:通过 war 包部署的项目,可以通过更改 Tomcat 的配置阻止 OPTIONS 方法的访问。

环境说明

操作系统:Windows 11

Tomcat 版本:apache-tomcat-6.0.35-windows-x86

测试工具 : Postman v9.31.0
(PS:文章整理的时间间隔太长了,postman 都升级啦 ~)

修复测试

修复前,使用 Postman 访问,方法及结果如下:(虽然 response body 是空的,但是状态码是 200)
在这里插入图片描述

尝试修复,修改 tomcat 的 conf/web.xml 文件,在标记 前增加以下配置

<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
                      http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
  version="3.1">

	<!-- add -->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>http method security</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <!-- 只禁用 OPTIONS 方法,只增加这个就好啦 -->
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint/>
    </security-constraint>

<!-- 这里之前增加配置 -->
</webapp>

修复后,使用 Postman 访问,方法及结果如下:(返回 403 Forbidden)
在这里插入图片描述

原理(参考博客):(以下内容是老版本的 Tomcat,新版本有待验证)

security-constriant 配置安全相关属性,包含4个可能的子元素,分别是:web-resource-collection、auth-constraint、user-data-constraint和display-name。

  1. web-resource-collection 此元素确定要保护的资源,所有 security-constraint 元素都必须包含至少一个此项。此元素下面有一个给出任意标识名称的 <web-resource-name> 、一个确定要保护的 URL 的 url-pattern 元素、一个指出此保护所适用的 HTTP 命令(缺省为所有方法)的 http-method 元素和一个提供资料的可选 description 元素组成。如上例中,当以 OPTIONGS 方法访问时将被限制,如果把 <http-method>OPTIONS</http-method> 这行注释掉就不会报错了
  2. auth-constraint 元素指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户 role-name 元素,以及可选的 description 元素。如果 security-constraint 中没有 auth-constraint 子元素,任何身份的用户都可以访问相应的资源,也就是说 security-constraint 这时实际上不起作用。此元素需要和 <login-config> 配合使用,<login-config> 要紧跟 security-constraint 后面
  3. user-data-constraint 此可选元素指出在访问相关资源时使用的传输层保护

说明:

  • security-constraint只对外部访问有作用,对内部跳转是不起作用的。
  • web.xml 中 <security-constraint> 的子元素 <http-method> 是可选的,如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。子元素 <auth-constraint> 需要和 <login-config> 相配合使用,但可以被单独使用。如果没有 <auth-constraint> 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 <security-constraint> 中没有 <auth-constraint> 子元素的话,配置实际上是不起中用的。如果加入了 <auth-constraint> 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。

Tomcat 版本:8.5.3 测试

新版 Tomcat 访问会返回 405 Method Not Allowed
访问结果如下
在这里插入图片描述

SpringBoot 项目修复方法

环境说明

操作系统: Windows 10

JDK 版本:1.8.0_321

SpringBoot 版本: 2.3.7.RELEASE

测试工具 : Postman v9.31.0

初始化 SpringBoot 项目,pom.xml 文件如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <groupId>com.example</groupId>
    <artifactId>demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>demo</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <spring-boot.version>2.3.7.RELEASE</spring-boot.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
    </dependencies>

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-dependencies</artifactId>
                <version>${spring-boot.version}</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

    <build>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.8.1</version>
                <configuration>
                    <source>1.8</source>
                    <target>1.8</target>
                    <encoding>UTF-8</encoding>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <version>2.3.7.RELEASE</version>
                <configuration>
                    <mainClass>com.example.demo.DemoApplication</mainClass>
                </configuration>
                <executions>
                    <execution>
                        <id>repackage</id>
                        <goals>
                            <goal>repackage</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>
        </plugins>
    </build>

</project>

AppController 定义如下

package com.example.demo.controller;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/api/")
public class AppController {

    private static final Logger logger = LoggerFactory.getLogger(AppController.class);

    @RequestMapping("test")
//    @PostMapping("test")
//    @GetMapping("test")
    public String test() {
        return "test";
    }

}

说明:这里有做测试 @RequestMapping @PostMapping @GetMapping 都不会禁用 OPTIONS 请求。

使用 Postman 访问结果如下(说明: OPTIONS 请求允许访问,并在 Headers 中返回了 Allow)
在这里插入图片描述

修复测试

增加过滤器 MyFilter

package com.example.demo.filter;

import java.io.IOException;
import java.text.SimpleDateFormat;
import java.util.Date;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.http.HttpMethod;

public class MyFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)
            throws IOException, ServletException {
        System.out.println("filter1");

        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        // test
        if (request.getMethod().equals(HttpMethod.OPTIONS.toString())) {
            response.setStatus(405);
            return;
        }

        String ip = request.getRemoteAddr();
        String url = request.getRequestURL().toString();
        SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
        Date d = new Date();
        String date = sdf.format(d);
        System.out.printf("%s %s 访问了 %s%n", date, ip, url);
        filterChain.doFilter(request, response);
    }

    @Override
    public void destroy() {
    }

}

注册过滤器

package com.example.demo.config;

import com.example.demo.filter.MyFilter;
import org.springframework.boot.SpringBootConfiguration;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@SpringBootConfiguration
public class CorsConfiguration implements WebMvcConfigurer {

    @Bean
    public FilterRegistrationBean registrationBean() {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(new MyFilter());
        filterRegistrationBean.addUrlPatterns("/*");
        return filterRegistrationBean;
    }

}

重启服务,使用 Postman 访问结果如下(说明: OPTIONS 请求已被禁用,返回结果 405)
在这里插入图片描述


总结

修复方法有很多啦~ 只整理了这3种情况。

说明:有的时候,前后端分离的项目。还不能阻止 OPTIONS 方法的请求,可能会出问题,参考 。有点尴尬,要不这个漏洞不管啦 ??~~!!

相关文章:

  • 做旅行的网站/培训后的收获和感想
  • 百度爱做网站/电商网站建设步骤
  • asp网站后台密码破解/最近的疫情情况最新消息
  • 温州网站建设咨询/建站小程序
  • 网站搭建设计方案/山西seo谷歌关键词优化工具
  • 加wordpress备案号/关键词优化公司电话
  • 卷积神经网络 CNN 基础概念
  • 2022年工作总结
  • 转行做程序员,哪种编程语言既高薪又适合你?
  • Python使用pandas导入csv文件内容
  • 【TypeScript】TS安装与使用
  • 河道水文标尺监测系统 OpenCv
  • 通用预约小程序,可广泛应用于医疗、政务、教育、培训、体育、金融、生活服务等行业领域,基于腾讯小程序云开发,无须服务器和域名
  • maven中的pom
  • 基于形状的匹配提纲(第六个问题解决)
  • 2022年转行编程选哪门语言?这份报告给你答案!
  • Jetpack Compose中的导航路由
  • Java项目:springboot课程自动排课系统