apache – Insecure HTTP方法已启用 – 如何禁用

我们在我们的应用程式网址上执行理性的应用程式扫描,并带有以下结果:

似乎是
Web服务器被配置为允许一个(或多个)以下HTTP方法
(动词)
– 删除
– 搜索
– COPY
– 移动
– PROPFIND
– PROPPATCH
– MKCOL
– 洛克
– 开锁
– PUT

为了解决这个问题,我添加了一个RewriteRule来禁止这些方法.现在当我手动测试我得到响应代码403:

curl -X PUT https://someurl.com/somecontext/somepage.xhtml

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /somecontext/somepage.xhtml
on this server.</p>
</body></html>

但合理的应用程序扫描仍然显示这是一个问题.有人遇到同样的问题.该URL通过AJP进入tomcat后端.不胜感激的解决方案

PS:我有Limit和LimitExcept,但我不知道是否会阻止通过mod_proxy或mod_jk的请求

最终工作的简单解决方案

RewriteEngine On
RewriteCond %{REQUEST_METHOD} !^(GET|POST|HEAD)
RewriteRule .* - [R=405,L]

这样可以让应用程序扫描快乐(和我一样)

翻译自:https://stackoverflow.com/questions/15971276/insecure-http-methods-enabled-how-to-disable

转载注明原文:apache – Insecure HTTP方法已启用 – 如何禁用