精华内容
下载资源
问答
  • Apache WEB服务器启用了OPTIONS方法

    千次阅读 2018-06-28 16:04:32
    使用Apache的重写规则来禁用Options方法和Trace方法在Apache配置文件httpd.conf中添加以下代码:单独禁用Trace方法:RewriteEngine On RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F]单独禁用...
    使用Apache的重写规则来禁用Options方法和Trace方法

    在Apache配置文件httpd.conf中添加以下代码:

    单独禁用Trace方法:
    RewriteEngine On
    RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
    RewriteRule .* - [F]
    单独禁用Options方法:
    RewriteEngine On
    RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
    RewriteRule .* - [F]
    同时禁用Trace方法和Options方法
    RewriteEngine On
    RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
    RewriteRule .* - [F]
    配置之后就是这种的

    <VirtualHost *:80>
        DocumentRoot "D:\wwwroot"
        ServerName www.abc.com
        ServerAlias abc.com
      <Directory "D:\wwwroot">
          Options FollowSymLinks ExecCGI
          AllowOverride All
          Order allow,deny
          Allow from all
          Require all granted
          RewriteEngine on
          RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
          RewriteRule .* - [F]
      </Directory>
    </VirtualHost>

    展开全文
  • web服务器启用了不安全的HTTP方法

    千次阅读 2018-09-14 20:47:35
    开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, ...可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...

    1、什么是不安全的HTTP方法

    开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。

    2、安全风险

    可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。

    3、不安全的HTTP方法——原理

    方法说明
    PUT向指定的目录上载文件
    DELETE删除指定的资源
    COPY将指定的资源复制到Destination消息头指定的位置
    MOVE将指定的资源移动到Destination消息头指定的位置
    SEARCH在一个目录路径中搜索资源
    PROPFIND获取与指定资源有关的信息,如作者、大小与内容类型
    TRACE在响应中返回服务器收到的原始请求

    服务器端由于配置权限不当,导致允许了客户端发送 DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK等请求,并且解析请求进行操作文件。如果服务器必须要支持WebDAV,请务必禁用它或禁止不必要的HTTP方法。

    4、测试步骤

    使用CURL发送OPTIONS请求,查看响应头中的Allow行

    命令:curl -I -X OPTIONS http://payloads.online

    ➜  ~ curl -I -X OPTIONS http://10.211.55.16/
    HTTP/1.1 200 OK
    Date: Wed, 18 Apr 2018 02:17:47 GMT
    Server: Microsoft-IIS/6.0
    MS-Author-Via: DAV
    Content-Length: 0
    Accept-Ranges: none
    DASL: <DAV:sql>
    DAV: 1, 2
    Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
    Allow: OPTIONS, TRACE, GET, HEAD, DELETE, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, MKCOL, LOCK, UNLOCK
    Cache-Control: private
    

    若出现PUT、DELETE….等方法,则存在此风险。

    5、修复方案

    如tomcat,配置web.xml

    <security-constraint>
    <web-resource-collection>
    <web-resource-name>fortune</web-resource-name>
    <url-pattern>/*</url-pattern>
    <http-method>PUT</http-method>
    <http-method>DELETE</http-method>
    <http-method>HEAD</http-method>
    <http-method>OPTIONS</http-method>
    <http-method>TRACE</http-method>
    </web-resource-collection>
    <auth-constraint></auth-constraint>
    </security-constraint>
    <login-config>
    <auth-method>BASIC</auth-method>
    </login-config>

    重启tomcat即可完成。

    以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效,如果添加到tomcat的web.xml中,

    则对tomcat下所有的应用有效。

    参考:

    http://payloads.online/archivers/2018-04-18/1

    https://www.cnblogs.com/qmfsun/p/6169641.html

    展开全文
  • Mac OS X 10.9.2 Web 服务器启用

    千次阅读 2014-04-06 16:38:20
    启用重定向 .htaccess 编辑  httpd.conf sudo vi /etc/apache2/httpd.conf 删除 AllowOverride all 前的注释 # PHP OSX 10.9 已经预装了 PHP 5.4.17, 编辑  httpd.conf ...

    1.首先展示系统版本:

    2.Mac OS X 10.9 依旧预装了 Apache ,但是已经不能在 「系统偏好设置」中的「Web 共享」来开启了,需要手动通过命令行开启。

    启动Apache

    启动:sudo apachectl start

    停止:sudo apachectl stop

    重启:sudo apachectl restart

    查看 Apache 版本 httpd -v

    浏览器打开 http://127.0.0.1 可以看到 It works! 的页面

    Apache Works

    文件根目录

    系统级的根目录

    http://localhosts/

    对应的文件目录是:

    /Library/WebServer/Documents/

    用户级根目录

    另一个 Web 根目录默认是 ~/Sites ,10.9 中你需要手动创建这个Sites目录。

    image

    检查这个目录下是否有 username.conf 文件

    /etc/apache2/users/

    如果没有,则需要新建一个,username 需要是你的账户名字,建议使用终端创建这个文件:

    cd /etc/apache2/users

    sudo vi username.conf

    贴入以下内容,注意修改 username 为你的账户名字

    <Directory "/Users/username/Sites/">
    Options Indexes MultiViews
    AllowOverride All
    Order allow,deny
    Allow from all
    </Directory>
    

    这个文件的权限应该是:

    -rw-r--r-- 1 root wheel 298 Jun 28 16:47 username.conf

    如果不是,请修改

    sudo chmod 644 username.conf

    重启 Apache

    sudo apachectl restart

    这时,这个网址应该已经可以用了:

    http://localhost/~username/

    启用重定向 .htaccess

    编辑 httpd.conf

    sudo vi /etc/apache2/httpd.conf

    删除 AllowOverride all 前的注释 #

    image

    PHP

    OSX 10.9 已经预装了 PHP 5.4.17, 编辑 httpd.conf

    sudo vi /etc/apache2/httpd.conf

    取消这一行前边的注释符号 #

    LoadModule php5_module libexec/apache2/libphp5.so

    重启 Apache

    sudo apachectl restart

    完成上述操作之后:在系统偏好-》网络里查看到IP地址,然后在浏览器里输入:ip/~username/就可以访问了,假如在Sites文件夹下放一个图片资源,可以直接 ip/~username/图片名称。后缀来获取资源下载。这时可以用于图片下载等。
    展开全文
  • webApi——启用 session

    千次阅读 2016-09-14 14:48:28
    默认webapi 不开启 session 会话支持所以需要修改配置,手动在 Global 开启 session 支持 1.重写 init() 方法 2.开启session支持Global.asaxusing System; using System.Collections.Generic; using System.Linq; ...

    默认webapi 不开启 session 会话支持

    所以需要修改配置,手动在 Global 开启 session 支持
    1.重写 init() 方法
    2.开启session支持

    Global.asax

    using System;
    using System.Collections.Generic;
    using System.Linq;
    using System.Web;
    using System.Web.Http;
    using System.Web.Mvc;
    using System.Web.Optimization;
    using System.Web.Routing;
    
    namespace WebApiCORS
    {
        public class WebApiApplication : System.Web.HttpApplication
        {
            protected void Application_Start()
            {
                AreaRegistration.RegisterAllAreas();
                GlobalConfiguration.Configure(WebApiConfig.Register);
                FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
                RouteConfig.RegisterRoutes(RouteTable.Routes);
                BundleConfig.RegisterBundles(BundleTable.Bundles);
            }
    
            public override void Init()
            {
                //注册事件
                this.AuthenticateRequest += WebApiApplication_AuthenticateRequest;
                base.Init();
            }
    
            //开启session支持
            void WebApiApplication_AuthenticateRequest(object sender, EventArgs e)
            {
                //启用 webapi 支持session 会话
                HttpContext.Current.SetSessionStateBehavior(System.Web.SessionState.SessionStateBehavior.Required);
            }
        }
    }
    
    展开全文
  • 由于Web.config文件中启用调试

    千次阅读 2019-01-03 14:42:42
    将webconfig中的&lt;compilation debug="false" targetFramework="4.0"&gt; fase改为true
  • WebApi如何启用Session并且使用

    千次阅读 2019-08-29 15:07:30
    //启用 webapi 支持session 会话 HttpContext.Current.SetSessionStateBehavior(System.Web.SessionState.SessionStateBehavior.Required); } 如此就启用了。可以再代码中使用 如: HttpContext....
  • 调试失败,因为没有启用集成windows身份验证C#中ASP.NET Web应用程序编译时的错误:无法在web服务器上启动调试。调试失败,因为没有启用集成windows身份验证。网上找到的解决办法,经试验有效:打开IIS,在IIS里查看...
  • 如何在 Web 浏览器中启用 JavaScript

    千次阅读 2019-02-26 20:56:53
    从顶部的菜单中选择"工具"→Internet选项→安全→自定义级别→脚本→活动脚本→点击“启动”. JavaScript 是一种“脚本”(“Script”),它直接把代码写到 HTML 文档中,浏览器读取它们的时候才进行编译、执行... ...
  • 如何在 Web 浏览器中启用 Java?

    万次阅读 2013-01-15 13:38:46
    本文适用于: 平台: Windows 8, Windows 7, Vista, Windows XP, Windows 2000, Windows 2003, Macintosh OS X ...尚未在 Web 浏览器中启用 Java。如果已经安装了 Java,但是小应用程序无法工作,您
  • Win10 IIS Web服务器安装与配置

    万次阅读 多人点赞 2018-01-04 21:53:00
    打开程序和功能,选择左边启用或关闭 Windows 功能,建议根据下图勾选,确定后等待安装完成 打开 IIS 直接使用 Cortana 搜索管理工具,打开选择Internet information Services(IIS)管理器点击左边栏,在 计算机 名下...
  • os系统自带apache服务,用命令行: sudo apachectl start  开启http服务 2,cd到要共享的文件夹内,用命令行 python -m SimpleHTTPServer  在http上共享文件夹内容 3,在浏览器上输入 http://localhost:8000 ...
  • 第一步:window——&gt;preferences----&gt;general----&gt;web browser---&gt;新建自己的浏览器第二步:需要选中 “use external web browser”第三步:apply----ok结束
  • 实例化时,登录过程中出现 服务器鉴权失败! 这是由于密码错误所致! 第一种情况:原始随机...然后重启服务: service sshd restart 即可!   转载于:https://www.cnblogs.com/gengyi/p/10591320.html
  • 1.今天开始调试一个asp.net项目时,出现如下错误: 无法在web服务器上启动调试。调试失败,因为没有启用集成windows身份认证2.解决办法: 打开:控制面板-管理工具-internet 信息服务,在网站-默认网站 下选择...
  • 使用了360网站安全检测 ...第一步:修改应用程序的web.xml文件的协议 xml version="1.0" encoding="UTF-8"?> web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema
  • @EnableWebSecurity是Spring Security用于启用Web安全的注解。通常将该注解用在某个Web安全配置类上(实现了接口WebSecurityConfigurer或者继承自WebSecurityConfigurerAdapter)。典型的使用例子如下 : @...
  • 启用 Master Data Services 的 Web Service

    千次阅读 多人点赞 2011-07-28 00:30:22
    概述本地计算机上必须安装了 Master Data Services 配置管理器。本地主数据管理器 Web 应用程序必须存在。本地或远程 Master Data Services 数据库必须...启用 Web 服务打开 Master Data Services 配置管理器。在左窗
  • 启用 mvc webapi 支持 session

    千次阅读 2015-09-29 16:19:36
    默认 mvc webapi 不开启 session 会话支持 所以需要修改配置,手动在 Global 开启 session 支持 如下: 1.重写 init() 方法  public override void Init()  {  //注册事件  this.AuthenticateRequest ...
  • C#中ASP.NET Web应用程序编译时的错误:无法在web服务器上启动调试。调试失败,因为没有启用集成windows身份验证。打开IIS,在IIS里查看站点信息(属性),选择“目录安全性”,点击“匿名访问和身份验证控制”右边的...
  • 三、这是控制面板上将多了个IIS管理器的图标,点击进去后可以添加FTP站点和Web站点,在添加站点的过程当中可指定站点对应的物理路径(本地目录),以及远程客户对本地目录中的文件的操作权限。   对于Web
  • 出现此问题,可尝试以下方法:启用集成 Windows 身份验证 1.用管理员帐户登录到 Web 服务器。 2.在“开始”菜单上单击“管理工具控制面板”。 3.在“管理工具”窗口中双击“Internet 信息服务”。 4.在“Internet ...
  • 问题 针对以下问题进行修复: 缺少 "Content-Security-Policy" 头 ...Tomcat 服务器没有启用 httpHeaderSecurity 功能 解决步骤及方法: 登入 192.168.18.66服务器,找到 Tomcat 配置目录:/root/vo...
  • MVC 未启用角色管理功能

    千次阅读 2013-09-26 08:16:53
    <add name="AspNetSqlRoleProvider" type="System.Web.Security.SqlRoleProvider" connectionStringName="ApplicationServices" applicationName="/" /> ...
  • APACHE是一个web服务器环境程序 启用他可以作为web服务器使用 不过只支持静态网页 如(asp,php,cgi,jsp)等动态网页的就不行 如果要在APACHE环境下运行jsp 的话就需要一个解释器来执行jsp网页 而这个jsp解释器就是...
  • 解决方法如下:试图运行项目时出错:无法在web服务器上启动调试.调试失败,因为没有启用集成windows身份验证这可能是你在调式asp.net出现这个问题,我也出现这个问题.只要你在iis中打开属性,打开目录和安全中点编辑把...
  • 当我们用Eclipse创建了一个Java Web项目,想访问一个jsp或者html页面时,通常会在目标页面(以jsp为例)上点击鼠标右键,选择【Run As】——&gt;【Run on Server】来启动服务器(比如tomcat)并访问页面,如下图:...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 304,967
精华内容 121,986
关键字:

web服务未启用