用BURP发送一个
选项* HTTP / 1.0
请求Sun Web Server 7.0返回:
HTTP / 1.1 200 OK
服务器:Sun-Java-System-Web-Server / 7.0
date:2010年2月3日(星期三)01:05:14 GMT
允许:HEAD,GET,PUT,POST,DELETE,TRACE,OPTIONS,MOVE,INDEX,MKDIR,RMDIR,COPY,CONNECT,PROPFIND,PROPPATCH,MKCOL,LOCK,UNLOCK,ACL,REPORT,VERSION-CONTROL,CHECKOUT,CHECKIN,退货,MKWORKSPACE,更新,标签,合并,基线控制,MKACTIVITY,search,订阅,取消,通知,投票,BDELETE,BCOPY,BMOVE,BPROPPATCH,BPROPFIND
和GlassFish Enterprise Server v2.1返回:
HTTP / 1.1 200 OK
X-Powered-By:Servlet / 2.5
服务器:Sun GlassFish Enterprise Server v2.1
允许:GET,HEAD,POST,PUT,DELETE,TRACE,OPTIONS
date:2010年2月3日星期三01:10:10 GMT
我想修剪两个服务器上支持的HTTP选项,如下所示:
允许:GET,HEAD,POST,PUT
如何configuration两台服务器才能实现?
一些研究表明:
更改Web服务器实例的config目录(即不是admin-server config目录)中的obj.conf文件,并添加下面的“If”。
<Object name="default"> <If $method = "TRACE" or $method = "OPTIONS"> AuthTrans fn="set-variable" error="501" </If> AuthTrans fn="match-browser" browser="*MSIE*" ssl-unclean-shutdown="true" NameTrans fn="ntrans-j2ee" name="j2ee" 这告诉服务器以501错误响应这样的请求。
实际的回应是:
HTTP / 1.1 501未实现
服务器:Sun-Java-System-Web-Server / 7.0
date:2010年2月22日星期一20:04:21 GMT
内容长度:148内容types:
文本/ html连接:closures未实现
未实现
此服务器不执行请求的方法。