使用Apache的重写规则来禁用Options方法和Trace方法


 



 在Apache配置文件httpd.conf中添加以下代码：


 



 单独禁用Trace方法：


 
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK）
RewriteRule .* - [F]


 单独禁用Options方法：


 
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]


 同时禁用Trace方法和Options方法


 
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]


 配置之后就是这种的


<VirtualHost *:80>
    DocumentRoot "D:\wwwroot"
    ServerName www.abc.com
    ServerAlias abc.com
  <Directory "D:\wwwroot">
      Options FollowSymLinks ExecCGI
      AllowOverride All
      Order allow,deny
      Allow from all
      Require all granted
      RewriteEngine on
      RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
      RewriteRule .* - [F]
  </Directory>
</VirtualHost>

1、什么是不安全的HTTP方法
 
开发人员、运维人员一般可能用于调试服务器，开启了一些客户端能够直接读写服务器端文件的方法，例如：DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。
 
2、安全风险
 
可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。
 
3、不安全的HTTP方法——原理
 
方法
说明
PUT
向指定的目录上载文件
DELETE
删除指定的资源
COPY
将指定的资源复制到Destination消息头指定的位置
MOVE
将指定的资源移动到Destination消息头指定的位置
SEARCH
在一个目录路径中搜索资源
PROPFIND
获取与指定资源有关的信息，如作者、大小与内容类型
TRACE
在响应中返回服务器收到的原始请求
服务器端由于配置权限不当，导致允许了客户端发送 DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK等请求，并且解析请求进行操作文件。如果服务器必须要支持WebDAV，请务必禁用它或禁止不必要的HTTP方法。
 
4、测试步骤
 
使用CURL发送OPTIONS请求，查看响应头中的Allow行
 
命令：curl -I -X OPTIONS http://payloads.online
 
➜  ~ curl -I -X OPTIONS http://10.211.55.16/
HTTP/1.1 200 OK
Date: Wed, 18 Apr 2018 02:17:47 GMT
Server: Microsoft-IIS/6.0
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL: <DAV:sql>
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, MKCOL, LOCK, UNLOCK
Cache-Control: private
 
若出现PUT、DELETE….等方法，则存在此风险。
 
5、修复方案
 
如tomcat，配置web.xml
 
<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
 
重启tomcat即可完成。
 
以上的代码添加到某一个应用中，也可以添加到tomcat的web.xml中，区别是添加到某一个应用只对某一个应用有效，如果添加到tomcat的web.xml中，
 
则对tomcat下所有的应用有效。
 
参考：
 
http://payloads.online/archivers/2018-04-18/1
 
https://www.cnblogs.com/qmfsun/p/6169641.html

1.首先展示系统版本：
 
 
2.Mac OS X 10.9 依旧预装了 Apache ，但是已经不能在 「系统偏好设置」中的「Web 共享」来开启了，需要手动通过命令行开启。
 
 启动Apache
 
 
 启动：sudo apachectl start
 
 停止：sudo apachectl stop
 
 重启：sudo apachectl restart
 
 查看 Apache 版本 httpd -v
 
 浏览器打开 http://127.0.0.1 可以看到 It works! 的页面
 
 
 
 
 
 文件根目录
 
 系统级的根目录
 
 
 http://localhosts/
 
 对应的文件目录是：
 
 /Library/WebServer/Documents/
 
 用户级根目录
 
 另一个 Web 根目录默认是 ~/Sites ，10.9 中你需要手动创建这个Sites目录。
 
 
 
 检查这个目录下是否有 username.conf 文件
 
 /etc/apache2/users/
 
 如果没有，则需要新建一个，username 需要是你的账户名字，建议使用终端创建这个文件：
 
 cd /etc/apache2/users
 
 sudo vi username.conf
 
 贴入以下内容，注意修改 username 为你的账户名字
 
 
 
<Directory "/Users/username/Sites/">
Options Indexes MultiViews
AllowOverride All
Order allow,deny
Allow from all
</Directory>
 
 
 这个文件的权限应该是：
 
 -rw-r--r-- 1 root wheel 298 Jun 28 16:47 username.conf
 
 如果不是，请修改
 
 sudo chmod 644 username.conf
 
 重启 Apache
 
 sudo apachectl restart
 
 这时，这个网址应该已经可以用了：
 
 http://localhost/~username/
 
 启用重定向 .htaccess
 
 编辑 httpd.conf
 
 sudo vi /etc/apache2/httpd.conf
 
 删除 AllowOverride all 前的注释 #
 
 
 
 PHP
 
 OSX 10.9 已经预装了 PHP 5.4.17， 编辑 httpd.conf
 
 sudo vi /etc/apache2/httpd.conf
 
 取消这一行前边的注释符号 #
 
 LoadModule php5_module libexec/apache2/libphp5.so
 
 重启 Apache
 
 sudo apachectl restart
 完成上述操作之后：在系统偏好－》网络里查看到IP地址，然后在浏览器里输入：ip/~username/就可以访问了，假如在Sites文件夹下放一个图片资源，可以直接
ip/~username/图片名称。后缀来获取资源下载。这时可以用于图片下载等。

默认webapi 不开启 session 会话支持
 
所以需要修改配置，手动在 Global 开启 session 支持 
 1.重写 init() 方法 
 2.开启session支持
 
Global.asax
 
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Http;
using System.Web.Mvc;
using System.Web.Optimization;
using System.Web.Routing;

namespace WebApiCORS
{
    public class WebApiApplication : System.Web.HttpApplication
    {
        protected void Application_Start()
        {
            AreaRegistration.RegisterAllAreas();
            GlobalConfiguration.Configure(WebApiConfig.Register);
            FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
            RouteConfig.RegisterRoutes(RouteTable.Routes);
            BundleConfig.RegisterBundles(BundleTable.Bundles);
        }

        public override void Init()
        {
            //注册事件
            this.AuthenticateRequest += WebApiApplication_AuthenticateRequest;
            base.Init();
        }

        //开启session支持
        void WebApiApplication_AuthenticateRequest(object sender, EventArgs e)
        {
            //启用 webapi 支持session 会话
            HttpContext.Current.SetSessionStateBehavior(System.Web.SessionState.SessionStateBehavior.Required);
        }
    }
}