Использование BURP для отправки
ОПЦИИ * HTTP / 1.0
запрос к Sun Web Server 7.0 возвращает:
HTTP / 1.1 200 ОК
Сервер: Sun-Java-System-Web-Server / 7.0
Дата: среда, 3 февраля 2010 г., 01:05:14 GMT
Разрешить: HEAD, GET, PUT, POST, DELETE, TRACE, OPTIONS, MOVE, INDEX, MKDIR, RMDIR, COPY, CONNECT, PROPFIND, PROPPATCH, MKCOL, LOCK, UNLOCK, ACL, REPORT, VERSION-CONTROL, CHECKOUT, CHECKIN, UNCHECKOUT, MKWORKSPACE, UPDATE, LABEL, MERGE, BASELINE-CONTROL, MKACTIVITY, SEARCH, SUBSCRIBE, UNSUBSCRIBE, NOTIFY, POLL, BDELETE, BCOPY, BMOVE, BPROPPATCH, BPROPFIND
и для GlassFish Enterprise Server v2.1 возвращает:
HTTP / 1.1 200 ОК
X-Powered-By: сервлет / 2.5
Сервер: Sun GlassFish Enterprise Server v2.1
Разрешить: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS
Дата: среда, 3 февраля 2010 г., 01:10:10 GMT
Я хотел бы урезать параметры HTTP, поддерживаемые на обоих серверах, примерно так:
Разрешить: GET, HEAD, POST, PUT
Как мне настроить оба сервера, чтобы реализовать это?
Некоторые исследования показали следующее:
Измените файл obj.conf в каталоге config экземпляра веб-сервера (т.е. не в каталоге конфигурации admin-server) и добавьте ниже «If».
<Object name="default">
<If $method = "TRACE" or $method = "OPTIONS">
AuthTrans fn="set-variable" error="501"
</If>
AuthTrans fn="match-browser" browser="*MSIE*" ssl-unclean-shutdown="true"
NameTrans fn="ntrans-j2ee" name="j2ee"
Это указывает серверу отвечать на такие запросы с ошибкой 501.
Фактический ответ:
HTTP / 1.1 501 Не реализовано
Сервер: Sun-Java-System-Web-Server / 7.0
Дата: понедельник, 22 февраля 2010 г., 20:04:21 GMT
Длина содержимого: 148 Тип содержимого:
text / html Подключение: закрытьНе реализована
Не реализована
Этот сервер не реализует запрошенный метод.