开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么Spring Security防火墙会拒绝像"PROPFIND“这样的WebDav方法？

Spring Security防火墙会拒绝像"PROPFIND"这样的WebDav方法是因为它默认情况下只允许常见的HTTP方法，如GET、POST、PUT、DELETE等。WebDav是一种基于HTTP协议的扩展，它提供了对远程服务器上的文件进行读写操作的能力。然而，由于WebDav方法具有较高的权限，可以对服务器上的文件进行更改和删除，因此Spring Security默认情况下会拒绝这些方法，以确保系统的安全性。

如果需要在Spring Security中允许WebDav方法，可以通过配置来实现。可以使用http.csrf().disable().authorizeRequests().antMatchers(HttpMethod.PROPFIND).permitAll()来禁用CSRF保护并允许"PROPFIND"方法。这样就可以在Spring Security中使用WebDav方法了。

Spring Security是一个功能强大的身份验证和访问控制框架，用于保护基于Spring的应用程序。它提供了一套可配置的安全规则，可以用于保护Web应用程序的各个部分，包括URL、方法调用、表单验证等。Spring Security可以与Spring框架无缝集成，并提供了许多扩展点和自定义选项，以满足各种安全需求。

推荐的腾讯云相关产品：腾讯云安全组（https://cloud.tencent.com/product/sg）是一种虚拟防火墙，可以在云服务器实例上设置网络访问控制规则，用于保护云服务器的网络安全。腾讯云安全组可以根据源IP、目标IP、协议端口等条件进行访问控制，可以灵活地配置规则，以满足不同的安全需求。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

在满补丁的Win10域主机上绕过图形接口依赖实现本地提权

这似乎是一个有趣的方法，但这里有一个问题：攻击需要访问图形界面。不幸的是，我们获取的是一个反向shell，还没有找到一种可以安全访问图形界面的方法。因此，我们必须摆脱对GUI的依赖。...默认情况下，经过身份验证的用户在Active Directory集成DNS（ADIDNS）区域中，具有“创建所有子对象”ACL。这样可以创建新的DNS记录。 ?...请注意，默认情况下，Windows 10具有一个名为Windows Spotlight的功能。此功能会自动下载并显示锁屏图像。...此外，为了利用WebDAV的服务器功能，有必要在httprelayserver.py中实现OPTIONS和PROPFIND方法。OPTIONS方法用于通知客户端支持并启用PROPFIND方法。...缓解和检测以下几点有助于缓解和检测此类攻击：由于此攻击依赖于能够为自身配置基于Kerberos资源的约束委派的计算机，因此拒绝自己写入msDS-AllowedToActOnBehalfOfOtherIdentity

1.4K1 0

被抛弃的WebDAV，从未有过青春！

不可否认，任何标准化的东西会降低特定公司存在的价值，这是很多看不清道不明的技术退步所产生的根本原因。 WebDAV是一套文件管理标准，你可以认为是ftp这样古老技术的升级版，基于HTTP协议。...它支持COPY、LOCK、MKCOL、MOVE、PROPFIND、PROPPATCH、UNLOCK等指令，可以说应对文件管理是绰绰有余了。我们可以看到它长长的支持列表。 ?...但就这么好用的技术，为什么在13年网盘大战的时候，各大网盘首先想到的不是怎么发扬光大WebDAV，而是自己搞一个臃肿、肥大的客户端呢？甚至于直到今日，还是有大部分网盘拒绝提供WebDav这项功能。...赚钱和想象力才是王道，用户只不过是被肆意玩弄的小白鼠而已。甚至于现在的oss，为什么不提供方便的WebDAV？因为这项技术阻挡了财路，虽然好用但终究不是一路人。...像国外的各种drive、iCloud等，都在逐渐的废弃掉WebDAV的支持，然后自己去编写映射盘，以便与自己的管理控制端集成。至于产品设计要以用户为中心？那不过是骗人的罢了。

4.3K2 0

关于WebDAV带来的网站潜在安全问题的疑问

WebDAV 完全采用此规范中的所有方法，扩展其中的一些方法，并引入了其他可提供所描述功能的方法。 WebDAV 中使用的方法包括： 1.Options、Head 和 Trace。...6.PropFind 和 PropPatch。针对资源和集合检索和设置属性。 7.Copy 和 Move。管理命名空间上下文中的集合和资源。 8. Lock 和 Unlock。改写保护。...网上的资料都说应该禁用web服务对该协议的支持，对于tomcat来说，好像默认就是不启用对webdav协议的支持的，但是有很多人的博客上都写了如何在web.xml中关闭http的不常用的或者不安全的方法...，关闭代码如下，添加到web.xml中即可： /*</url-pattern...tomcat默认就不开启webdav协议的支持，禁用put、delete等方法是不是有点多此一举？有些安全漏洞扫描软件，会将支持options方法当成是webdav扩展漏洞，这样合适么？

2.3K2 0

收获 NetNTLM

有几种服务支持身份验证请求，正如我们之前所指出的，如果没有管理员权限，从 SMB (445) 获取哈希值是非常重要的，即使这样，从 OpSec 的角度来看，这些方法也可能并不理想。...当对启用 WebDAV 的 UNC 路径触发文件操作时，身份验证主机将执行以下操作：发出一个 OPTIONS 方法来发现 Web 服务器支持的功能，如果支持 PROPFIND，则发出 PROPFIND...当然，要接受传入连接，您可能需要处理可能存在的任何基于主机的防火墙。...SCF 强制身份验证背后的方法是通过远程托管图标，当资源管理器解析该图标时，将导致对 UNC 路径（在我们的示例中为 Farmer WebDAV 服务）指向的位置进行远程身份验证。...在这种方法中，我们当然会创建各种新文件来强制进行身份验证，当然这可能会引起用户的怀疑。

1.1K3 0

【SpringSecurity系列（十五）】请求防火墙默认已开启

今天我就来和大家聊一聊 Spring Security 中自带的防火墙机制。...一个是严格模式的防火墙设置，还有一个默认防火墙设置。...不知道小伙伴们在使用 Shiro 的时候，有没有注意到，如果你禁用了 Cookie，那么 jsessionid 就会出现在地址栏里，像下面这样： http://localhost:8080/hello;...jsessionid=xx 这种传递 jsessionid 的方式实际上是非常不安全的（松哥后面的文章会和大家细聊这个问题），所以在 Spring Security 中，这种传参方式默认就禁用了。...后面松哥在和大家分享 Web 中的安全攻击时，也会再次提到这些限制的作用，请小伙伴们保持关注哦。 3.总结没想到吧？Spring Security 竟然为你做了这么多事情！

1.6K2 0

NAS 共享访问协议 — NFS、SMB、FTP、WebDAV 各有何优势？

不过在 Windows 系统上挂载 NFS 共享目录时，由于 Windows 自带的 NFS 客户端长久以来不支持 UTF-8，会致中文文件和目录显示为乱码。...WebDAV 基于 Web 的分布式编写和版本控制（WebDAV）是超文本传输协议（HTTP）的扩展，有利于用户间协同编辑和管理存储在万维网服务器文档。...WebDAV 为实现远程文件管理，向 HTTP/1.1 中追加了以下这些方法。...PROPFIND：获取属性 PROPPATCH：修改属性 MKCOL：创建集合 COPY：复制资源及属性 MOVE：移动资源 LOCK：资源加锁 UNLOCK：资源解锁为配合扩展的方法，状态码也随之扩展...，因此不再维持依赖关系 507 Insufficient Storage：保存空间不足由于 WebDAV 是基于 HTTP 的，所以具有 HTTP 的所有优点，包括容易穿越防火墙、使用 HTTPS

50.6K3 1

使用C#WebClient类访问（上传下载删除列出文件目录）由IIS搭建的http文件服务器

前言 为什么要写这边博文呢？其实，就是使用C#WebClient类访问由IIS搭建的http文件服务器的问题花了我足足两天的时间，因此，有必要写下自己所学到的，同时，也能让广大的博友学习学习一下。...需要一个软件环境进行搭建，具体方法如下： 1）打开“控制面板”，找到“程序与功能”，如下图所示： ? 2）点进去之后，找到“启用或关闭Windows功能”，如下图所示： ?...3）点进去之后，将“Internet Information Services”下所有节点都打勾（这样就搭建了一个功能完全的HTTP/FTP服务器），注意“WebDAV发布”必须要安装，这个跟文件服务器中文件访问权限有着很大的关系...12）鼠标双击“WebDAV创作规则”，如下图所示： ? 13）点击“WebDAV设置”，如下图所示： ? 14）将①②所示红色框内的属性设置为图中所示的属性，并点击“应用”，如下图所示： ?...17）返回到“WebDAV创作规则”，点击“启用WebDAV”，如下图所示： ?

2.5K0 0

【SpringSecurity系列（十六）】会话固定攻击与防御

---- 前两天和大家聊了 Spring Security 中的 session 并发问题，和小伙伴们聊了如何像 QQ 一样，用户在一台设备上登录成功之后，就会自动踢掉另一台设备上的登录。...但是为什么有的人会感觉浏览器关闭之后 session 就失效了呢？...注意前面我用了一个默认情况下，也就是说，我们可以通过手动配置，让浏览器重启之后 sessionid 不丢失，但是这样会带来安全隐患，所以一般不建议。...以 Spring Boot 为例，服务端生成 sessionid 之后，返回给前端的响应头是这样的： ?...Spring Security 中的防御主要体现在三个方面：首先就是上篇文章讲的 StrictHttpFirewall，请求地址中有 ; 请求会被直接拒绝。

8164 1

基于资源的约束委派（RBCD）

这样会导致一个非常严重的问题：不止于iis，所有低权限服务(例如network service这类型的本机服务)都是以机器账户身份去请求的域内资源。...WebDAV 的程序和功能正常工作。...当对启用 WebDAV 的 UNC 路径触发文件操作时，身份验证主机将执行以下操作：发出一个 OPTIONS 方法来发现 Web 服务器支持的功能，如果支持 PROPFIND，则发出 PROPFIND...请求方法来发现目录结构，如果 Web 服务器以 401 Unauthorized 响应并通过 WWW-Authenticate 标头请求 NTLM 身份验证，则 WebDAV 迷你重定向器将继续启动...并且，这样做还有一个好处就是攻击者的 HTTP 服务器可以在任何端口上运行，从红队的角度来看，这提供了很大的灵活性，其允许我们避免处理已经绑定的 SMB 端口。

2.9K4 0

这是一篇“不一样”的真实渗透测试案例分析文章

)中这样提到：一般webdav支持多种http方法，而PROPPATCH、PROPFIND、 LOCK等方法接受XML作为输入时会形成xxe。我们探测下支持的http方法： ?...我们在测试PROPFIND方法时成功收到了xxe请求： ? 常规的xxe一般会想到任意文件读取、以及网上提到的利用gopher打redis等。...Protocol and Security Support Provider。...看到这里你会觉得说了那么多不就是中间人攻击么，对就是中间人攻击。 ?...那么问题又来了，既然需要一个机器账户，前面提到的 system账户做Relay时是用机器账户去请求这个地方说的机器账户，也就是我们文中的WEBDAV服务器的机器账户，为什么不用这个机器账户，要自己去增加一个呢

1.9K4 0

Spring Security 实战干货：WebSecurity和HttpSecurity的关系

HttpSecurity的本质前几天在Spring Security 5.4的新玩法中介绍了一种新的配置HttpSecurity的方式： @Bean SecurityFilterChain filterChain...它的作用是来定义哪些请求忽略安全控制，哪些请求必须安全控制，在合适的时候清除SecurityContext以避免内存泄漏，同时也可以用来定义请求防火墙和请求拒绝处理器，另外我们开启Spring Seuciry...同时还有一个作用可能是其它文章没有提及的，FilterChainProxy是Spring Security对Spring framework应用的唯一出口，然后通过它与一个Servlet在Spring的桥接代理...这样就将Spring Security、Spring framework、Servlet API三者隔离了起来。...总结我们事实上可以认为，WebSecurity是Spring Security对外的唯一出口，而HttpSecurity只是内部安全策略的定义方式；WebSecurity对标FilterChainProxy

3.5K5 0

【中间件】一些中间件的相关漏洞总结v1.0

IIS 6.0 命令执行漏洞（1）漏洞原理该漏洞的编号为CVE-2017-7269，在IIS 6.0 开启WebDav服务的情况下存在命令执行漏洞。WebDav服务默认关闭，开启如下： ?...漏洞原理是IIS 6.0 在处理PROPFIND指令的时候，由于对url的长度没有进行有效的长度控制和检查，导致执行memcpy对虚拟路径进行构造时，引发栈溢出，可导致远程代码执行。 ?...运行该脚本的结果是在靶机中打开一个计算器： ? （2）修复方式关闭WebDav服务即可。 ?...（2）防护方法在配置文件中，使用SetHandler配合正则表达式的方法，而不是AddHandler，这样就不会出现解析问题了。...（3）防护方法配置项 security.limit_extensions 不要填写为空，填写需要解析的文件后缀。关闭 cgi.fix_pathinfo 路径修剪功能。 ?

1.5K3 0

让IIS支持.NET Web Api PUT和DELETE请求

HTTP请求 405错误方法不被允许 (Method Not Allowed) 为什么IIS拒绝处理PUT和Delete请求？...IIS默认情况下拒绝处理PUT和DELETE请求的原因是出于安全考虑。PUT和DELETE方法被设计为具有写入和删除数据的能力，如果未正确配置和保护，可能会导致潜在的安全漏洞。...针对这些HTTP方法，微软开发了WebDAV（Web-based Distributed Authoring and Versioning）扩展，它允许用户在Web服务器上直接编辑和管理文件。...IIS默认注册了一个名为"WebDAVModule"的自定义HttpModule，用于提供WebDAV支持。...为了防止未经授权的访问和潜在的攻击，IIS默认情况下仅允许GET和POST请求，并拒绝处理PUT和DELETE请求。这样可确保服务器上的文件只能通过受限的方法进行修改和删除。

3993 0

利用资源约束委派进行的提权攻击分析

但是，大部分由计算机账户发起的连接都会协商签名，而位于域控制器的LDAP服务会忽略所有没有签名的信息。...使用WebDAV NTLM relay Server脚本在攻击机器上搭建中继服务器（IP地址的域控制器IP）： ? 4....ServiceB的WebDAV客户端使用PROPFIND请求方法向中继服务器发起无签名的NTLM认证并请求获取图片的属性： ? ?...那么为什么域管理员在当前计算机的PSSession中无法使用Kerberos协议进行与域控制器进行认证呢？...国外研究人员将“在多个连接中保持用户Kerberos认证凭证”的方法称为 Kerberos Double Hop。

2.7K2 0

浅谈spring security 403机制一、无权限访问二、匿名访问三、有权限访问原因机制指定AccessDeniedHandler指定error-page情景原因结论

403就是access denied ，就是请求拒绝，因为权限不足三种权限级别一、无权限访问这种也是不需要登录就访问的，但是会传csrf_key 三、有权限访问 <security...处理请求的时候，先会检测用户是否登录，也就是检测是否有authentication(身份) 此时，如果用户没有登录，而且请求是需要登录的action，spring security会跳转到登陆页面，就算这个页面需要权限访问...AccessDeniedHandler接口，实现里面的handle方法当权限不足的时候，spring security会调用handle方法可以在handle方法里面重定向或者转发请求代码demo...，一切spring security 处理完成后自定义跳转，都是在strust的filter之后的像登录成功的authentication-success-handler-ref，退出的success-handler-ref

5.4K10 0

Web中间件常见漏洞总结

WebDAV ，配置了可以写入的权限，造成任意文件上传。...3、漏洞修复关闭WebDAV 和写权限（二）短文件名猜解 1、漏洞介绍及成因 IIS的短文件名机制，可以暴力猜解短文件名，访问构造的某个存在的短文件名，会返回404，访问构造的某个不存在的短文件名，...，和真实文件名不匹配；（三）远程代码执行 1、漏洞介绍及成因在IIS6.0处理PROPFIND指令的时候，由于对url的长度没有进行有效的长度控制和检查，导致执行memcpy对虚拟路径进行构造的时候...3、漏洞修复 1）将php.ini文件中的cgi.fix_pathinfo的值设为0.这样php在解析1.php/1.jpg这样的目录时，只要1.jpg不存在就会显示404； 2）将/etc/php5...启动上传的 war 包所生成的服务。 ? 拿到 webshell。 ? 3、漏洞修复 防火墙设置端口过滤，也可以设置只允许访问后台的IP列表，避免后台弱口令。

4.3K4 0

技术精进的三境界

首先来看看宇宙级开源项目 spring 的官方文档，它长这样： ?...2 通过核心接口/包结构分析框架层次结构我猜测有人拒绝阅读源码的一个原因：源码注释量不够，压根不知道一段代码是干嘛用的。的确，我在阅读有些源码时也会出现这样的情况：这儿会什么要加锁？...为什么要用 AtomicReference 这个类？为什么这个方法放在父类，而另外看似功能差不多的代码放在子类实现？...框架编写者不会像培训班的老师一样跟你讲解他为什么要这么写，也不是所有的源码都能像 HashMap 的源码那样被大家泛滥地解读，是的，可能大多数情况下你的境地是「虽然不懂，还没法问！」气不气，尴不尴尬？...没办法，因为这已经是第三境了，曲高和寡，但还是有些方法规避这样的情况的，那就是：主要关心核心接口，通过接口暴露的方法，猜测出作者的意图。

1K6 1

SpringSecurity6 | 核心过滤器

在某些情况下，用户可能希望禁用Spring Security对URL的编码，例如在特定的代理服务器或反向代理服务器上，因为这些代理服务器可能会自己处理URL的编码。...logout、/login 三种请求URL中的任意一种会进入该方法 //2....ExceptionTranslationFilter(), FilterSecurityInterceptor.class); } 在这个配置中，我们通过 .exceptionHandling() 方法配置了访问拒绝时的处理策略...在doFilterInternal方法中Spring Security 防火墙会进行第一步请求校验： private void doFilterInternal(ServletRequest request...防火墙校验，将请求和响应进行包装 // 1.1 请求方式是否被允许 // 1.2 URL 是否规范 // 1.3 远程IP是否黑名单 // 1.4 拒绝字段名称中的不可打印Ascii字符 //

5173 1

Spring Security 实战干货：自定义异常处理

今天正好项目中 Spring Security 需要对认证授权异常的处理，就分享出来吧。 2....Spring Security 中的异常 Spring Security 中的异常主要分为两大类：一类是认证异常，另一类是授权相关的异常。...并且服务器想让客户端知道为什么没有权限访问特定的资源，服务器应该在返回的信息中描述拒绝的理由。一般实践中我们会比较模糊的表明原因。...Spring Security 中的异常处理我们在 Spring Security 实战干货系列文章中的自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity...总结今天我们对 Spring Security 中的异常处理进行了讲解。分别实现了自定义的认证异常处理和自定义的授权异常处理。

2.6K3 0

如何在Ubuntu 14.04上使用Iptables实现基本防火墙模板

使用sudo权限在文本编辑器中打开rules.v4文件： sudo nano /etc/iptables/rules.v4 在里面，你会看到一个看起来像这样的文件： # Generated by iptables-save...通常，我们的规则设置了一个防火墙，默认情况下会拒绝传入流量。然后，我们将为我们希望从此策略中排除的服务和流量类型创建例外。...这些连锁店将成为您大部分定制的焦点。任何与通用规则或协议特定的服务规则不匹配的流量都由INPUT链中的最后几条规则处理。我们已为防火墙设置了DROP的默认策略，该策略将拒绝通过我们的规则的数据包。...我们将最终得到上面指定的相同规则，但我们将通过迭代添加规则来创建我们的策略。因为iptables会立即应用每个规则，规则排序非常重要（我们保留拒绝数据包直到结束的规则）。...用sudo iptables-persistent flush刷新是清除规则的更好方法，因为它也会重置默认策略。

1.1K0 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭