![使用HTTP动词篡改的认证旁路](https://blog.mbku.net/wp-content/uploads/2019/01/0d933f2065804cca0494f291e0a6555f3a4-1.jpg)
等保处理过程中发现了很多“使用HTTP动词篡改的认证旁路”等的中级漏洞(具体扫描提示如下图)
![将您的服务器配置为仅允许所需HTTP方法](https://blog.mbku.net/wp-content/uploads/2019/01/e09c67da4a547bb0998a1c7688793d27a6b-1.jpg)
点击“将您的服务器配置为仅允许所需HTTP方法”跳转到解决方法处理区域,如下图
下面就具体列出 Nginx 和 Apache 的 解决方案
Nginx 解决方案
在 nginx.conf 配置文件 的 网站配置区域中添加如下代码片段
if ($request_method !~ ^(GET|POST)$ ) {
return 403;
}
Apache 解决方案
在站点配置文件 .htaccess 中添加如下代码片段
<Location />
<LimitExcept GET POST>
Order Allow,Deny
Deny from all
</LimitExcept>
</Location>
至此,改漏洞均已修复
未经允许不得转载:小罗同学 » Web服务器限制只允许通过GET/POST请求