最安全的建议,我看到建议关闭HTTP方法一样TRACE,OPTIONS,HEAD等等。所以,现在我已经关闭了大部分的这些选项我的Web服务器上,只留下GET和POST选项,可以退换。问题是,现在我的一些应用程序正在使用,HEAD而一些用户在应用程序中执行操作时遇到错误。检查日志发现一些来自用户端的 HEAD 请求。我怀疑这是因为我的服务器已停止响应,HEAD因此连接已断开。我的问题是,当我读到它也有合法用途时,HEAD 真的那么不安全吗?还是我应该告诉我的应用程序开发人员/项目经理更改他们的代码?谢谢。
HTTP HEAD 及其安全性与操作用途
信息安全
Web应用程序
http
标题
2021-08-20 08:13:26
1个回答
HEAD 本身并不危险,它确实有合法用途。问题在于 Java EE。它有一种使用 web.xml 文件设置安全约束的方法——但这些仅适用于 GET 和 POST,而不适用于 HEAD。这意味着可以使用 HEAD 绕过身份验证。这篇关于 SANS 研究所渗透测试的论文中有更多关于这个问题和其他问题的信息。
这个特定问题是否适用于您的应用程序显然取决于您使用的应用程序服务器和其他安全措施。