JBOSS禁用delete和put方法教程

一、背景说明(与此节修复没多大关系可跳过)

今天应用报扫描出“启用不安全的HTTP方法”漏洞需要进行修复,看后边还有IIS的修复建议;一边不满怎么用IIS一边研究了具体操作半天,由于IIS不同版本操作起来可能有不同所以看一下版本号。

老办法访问一个不存在的页面,看到了如下 界面:

谁妹子的说是IIS的,真妹子的误导人;不过JBoss2.0不太可能吧这是哪年的东西,难道不是JBoss?搜一下真有JBoss web这东西

JBoss就用得少了,来个JBos Web那不是有的搞?还好有位大哥写了个安装教程,看起来不复杂。

装完之后,看目录,这哪是像tomcat难道不是就是个tomcat?国产中间件都没你这么像啊。

不过无所谓啊,对我们处理问题而言越像越好。

但到应用主机上再看目录完完全全不一样啊,这是什么东西?

(上图为本地装的jboss web的bin目录下文件的截图)

 (上图为本地装的jboss5的bin目录下文件的截图)

难道是哪位大神把脚本全给重写了,打开run.sh开头就正规的注释,这基本不可能啊。

灵机一动,搜下“jboss_init_redhat.sh”这种基本专有的名称会有什么结果?JBoss?有没有可能这东西根本就是JBoss而不是JBoss Web?

去下载一个JBoss5,解压果然目录文件果然一样,再看报错果然JBoss也曝的是JBoss Web(JBoss默认只监听127.0.0.1);唉,都怪自己懂得太多了不然一早按JBoss搞早搞完了:)

 

二、修复方法

进入JBoss目录,使用find找到项目对应的web.xml

find . -name "*web.xml"

然后在末尾追加以下内容(当然还是得在<webapp>标签内):

  <security-constraint>
    <web-resource-collection>
        <web-resource-name>NoAccess</web-resource-name>
        <url-pattern>/*</url-pattern>
          <http-method>DELETE</http-method>
          <http-method>PUT</http-method>
          <http-method>OPTIONS</http-method>
          <http-method>TRACE</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>

保存然后重启JBoss即可

 

参考:

http://blog.csdn.net/xeseo/article/details/9467319

posted on 2017-09-28 16:40  诸子流  阅读(1592)  评论(0编辑  收藏  举报