désactivation des méthodes HTTP dangereuse.
Bonjour les amis et bon WeekEnd, j'ai un petit soucis avec 3 apache que j'ai . j'ai OPTIONS /webadmin/ HTTP/1.1 Host: xxx.yyy.zzz.www HTTP/1.1 200 OK Date: Fri, 29 Jul 2016 15:01:47 GMT Server: Apache Pragma: No-cache Cache-Control: no-cache Expires: Thu, 01 Jan 1970 00:00:00 WET *Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS* Content-Length: 0 comme vous pouvez le voir les méthodes GET/HEAD/POST/PUT/DELETE/OPTIONS sont actives. la question du jours comme déactivé les méthodes OPTIONS/PUT/DELETE j'ai essayé avec RewriteEngine On RewriteCond %{REQUEST_METHOD} (PUT|DELETE) RewriteRule (.*) - [F] j'ai essayé avec <Directory /> Options none AllowOverride none Order deny,allow Deny from all <Limit PUT DELETE > Order deny,allow Deny from all </Limit> </Directory> toujours le même résultat, donc ma question comment faite vous pour désactiver ces méthodes, sinon pour sécuriser vos frontaux Web apache 2.4 l'os un redhat Tarik CHICHANE Ingénieur Telecom Réseaux Administateur Réseaux Université Hassan-II Mohamadia
Salut, Il y a un module pour ça: https://httpd.apache.org/docs/2.4/mod/mod_allowmethods.html My 2 cents Barth Le 29 juillet 2016 à 17:31, tarik chichane <tarikchichane2006@gmail.com> a écrit :
Bonjour les amis et bon WeekEnd,
j'ai un petit soucis avec 3 apache que j'ai .
j'ai
OPTIONS /webadmin/ HTTP/1.1 Host: xxx.yyy.zzz.www
HTTP/1.1 200 OK Date: Fri, 29 Jul 2016 15:01:47 GMT Server: Apache Pragma: No-cache Cache-Control: no-cache Expires: Thu, 01 Jan 1970 00:00:00 WET *Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS* Content-Length: 0
comme vous pouvez le voir les méthodes GET/HEAD/POST/PUT/DELETE/OPTIONS sont actives.
la question du jours comme déactivé les méthodes OPTIONS/PUT/DELETE
j'ai essayé avec
RewriteEngine On RewriteCond %{REQUEST_METHOD} (PUT|DELETE) RewriteRule (.*) - [F]
j'ai essayé avec
<Directory /> Options none AllowOverride none Order deny,allow Deny from all <Limit PUT DELETE > Order deny,allow Deny from all </Limit> </Directory>
toujours le même résultat, donc ma question comment faite vous pour désactiver ces méthodes, sinon pour sécuriser vos frontaux Web apache 2.4 l'os un redhat
Tarik CHICHANE Ingénieur Telecom Réseaux Administateur Réseaux Université Hassan-II Mohamadia
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Salut, Le Fri, Jul 29, 2016 at 05:42:33PM +0200, Barthélémy DELUY a écrit:
Il y a un module pour ça: https://httpd.apache.org/docs/2.4/mod/mod_allowmethods.html
Ca ne répondra pas à la question, mais pour être complet, en nginx, ça se traduit comme ça: if ($request_method !~ ^(GET|HEAD|POST)$ ) { return 403; } directement dans le server { } , et ça ne nécessite pas de module complémentaire. Arnaud.
participants (3)
-
Arnaud Launay -
Barthélémy DELUY -
tarik chichane