禁用WebDAV-Tomcat（检测到目标URL启用了不安全的HTTP方法）

0.问题说明

1）HTTP方法说明

PUT 向指定资源位置上传其最新内容。　
DELETE 请求服务器删除Request-URI所标识的资源。

2）绿盟扫描说明

如果未禁用以上HTTP方法，可能导致服务器被上传恶意资源 或 服务器资源被恶意删除
下图为2019年8月的扫描结果，在绿盟扫描标准里是低危漏洞

1. Tomcat版本说明

本文案例使用的是6.0.45版本，目测5版及7版应该能用同样方法修复该问题
（手动狗头，你们自己试吧）

2. 修复方案——修改tomcat的web.xml文件

1）encoding改为UTF-8

默认encoding一般是ISO-8859-1

2）web-app标签属性修改

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  
	version="2.4">

3）添加方法拦截代码

在< web-app>< /web-app>标签内添加即可

<security-constraint>  

		<web-resource-collection>  

			<url-pattern>/*url-pattern>
			<http-method>PUThttp-method>  
			<http-method>DELETEhttp-method>  
			<http-method>HEADhttp-method>  
			<http-method>OPTIONShttp-method>  
			<http-method>TRACEhttp-method>  

		web-resource-collection>  

		<auth-constraint>  

		auth-constraint>  

	security-constraint>  

	<login-config>  
		<auth-method>BASICauth-method>  
	login-config>  

具体位置我直接摆web-app标签一开始下面了

4）添加/修改readonly属性

		<init-param> 
			<param-name>readonlyparam-name> 
			<param-value>trueparam-value> 
		init-param>

此版本的Tomcat没有该属性，所以我在DefaultServlet中添加了该属性，属性值为true

5）保存文件，重启tomcat

3.Postman验证

1）使用GET请求访问首页

能正常获取到页面资源：

2）使用Options方法访问首页

可以看到页面返回了403

3）headers比较

绿盟给的提示是比较响应头中的Allow字段，但是我没有找到
（这块比较薄弱，麻烦会的朋友留言指导我下）
从图上比较来看，Options方法获得的响应多了个Content-Length的属性，值为0

4.修复完毕

5.有条件的，不放心可以用绿盟再扫下，我这边扫过确认是修复了

PS：我没给绿盟打广告啊，绿盟没给我打钱。。。