禁止远端WWW服务支持TRACE请求

最新推荐文章于 2024-06-08 08:02:26 发布
最新推荐文章于 2024-06-08 08:02:26 发布
阅读量1.8w 收藏 6
点赞数 1
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AXW2013/article/details/79603121
版权

TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。

TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

 

解决办法:

管理员应禁用WWW服务对TRACE请求的支持。

         步骤:

1.    停止Apache服务

2.    修改httpd.conf文件

①  激活rewrite模块(去掉符号#)

LoadModulerewrite_module modules/mod_rewrite.so

<Directory />Options FollowSymLinks   AllowOverride None  </Directory> 

将AllowOverride None 改成 AllowOverride ALL 这样Apache的mod_rewrite就开启了。

 

②  启用Rewrite引擎

RewriteEngineOn

③  对Request中的Method字段进行匹配,^TRACE 即以TRACE字符串开头

RewriteCond %{REQUEST_METHOD} ^TRACE

④  定义规则:对于所有格式的来源请求,均返回[F]-Forbidden响应

RewriteRule .* - [F]

 

         对于2.0.55以上版本的apache服务器,有一种更简单的办法:

         TraceEnableoff

3.   启动Apache服务。

 

AXW2013
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WWW服务支持TRACE请求
草衣的博客
05-30 2万+
最近扫描项目所在的服务器发现一个漏洞,名称叫“WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务TRACE请求支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 WWW服务支持TRACE请求。RFC 2616介绍了TRACE
Apache服务器关闭TRACE Method请求方式的方法
01-20
如何关闭Apache的TRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部...
网站常见漏洞及解决办法
09-29
WWW服务支持TRACE请求 解决方法: ①开启Apache 的mod_rewrite功能: 在Apahce的配置文件httpd.conf中把#LoadModule rewrite_module modules/mod_rewrite.so前的#去掉 在httpd.conf中找到下面这段 Options FollowSymLinks AllowOverride None 将AllowOverride None 改成 AllowOverride ALL 这样Apache的mod_rewrite就开启了。 ②在httpd.conf最后加上 RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] 禁用URL,返回403HTTP状态码
apache 关闭TRACE请求禁止跨站攻击(XSS攻击)
最新发布
qq_25096749的博客
06-08 396
详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html。注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理。2、apache禁止trace或track防止xss攻击。1、什么事XSS攻击。
WWW服务支持TRACE请求漏洞
huangbaokang的博客
04-30 3242
漏洞详细描述: WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。 解决办法 1、停止Apache服务(以root权限登录) # cd /opt/IBM/H...
屏蔽WWW服务支持TRACE请求-有效
02-06 1988
1. 2.0.55以上版本的Apache服务器,可以在httpd.conf的尾部添加:TraceEnable off 2.其它版本的Apache服务器可编辑httpd.conf文件: 激活rewrite模块(去掉符号 # ):LoadModule rewrite_module modules/mod_rewrite.so 在各虚拟主机的配置文件里添加如下语句: # 启用 Rewrite 引擎 RewriteEngine On # 对Request中的Method字段进行.
WWW服务支持TRACE请求(渗透测试复现及修改)
qq_42449510的博客
07-30 8832
关闭TRACE方法一、TRACE漏洞信息漏洞描述漏洞危害二、验证方法1.1 配置Java 环境变量1.2 安装Burp Suite1.3 使用Burp suite测试三、关闭TRACE请求 一、TRACE漏洞信息 漏洞描述 目标WEB服务器启用了TRACE方法。TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户提交的任意数据,因此,可用来进行跨站脚本(XSS)攻击,这种攻击方式又称
WWW服务支持TRACE请求
心有猛虎细嗅蔷薇
07-28 2047
WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。...
Apache 禁用WWW服务支持TRACE请求
zhg13361的博客
11-24 547
【代码】Apache 禁用WWW服务支持TRACE请求
常见绿盟扫描主机漏洞及修复方案
热门推荐
06-11 1万+
1、服务支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】 中 修复意见: 建议升级openssl来进行修复,openssl-0.98m之后的版本就已经修复了该漏洞,使用了Secure Renegotiation。 2、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 中 修复意见: 对于NGINX的修补 修改nginx配置文件中的 ssl_ciphers项 ssl_ciphers"ECDHE-..
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 9456
WWW服务支持TRACE请求
几个安全合规中漏洞的处理方法
weixin_34038652的博客
10-03 1089
一、WWW服务支持TRACE请求 详细说明 解决办法管理员应禁用WWW服务TRACE请求支持。 步骤1、停止Apache服务(以root权限登录) # cd /opt/IBM/HTTPServer/bin # ./apachectl stop 2、修改httpd.conf文件 ...
Spring Boot异常处理静止trace
08-25
Spring Boot 异常处理静止 trace 一、Spring Boot 异常处理简介 在 Spring Boot 应用程序中,异常处理是一个非常重要的方面。异常处理可以帮助我们更好地处理应用程序中的错误,提高应用程序的稳定性和可靠性。...
基于SpringBoot自动装配实现的对于OpenFeign扩展请求传递traceId,分布式服务日志查询串联标记
07-26
引用步骤: 1.基于SpringBoot自动装配,引用jar包即可,坐标如下: ... <artifactId>feignextend ...[%date{yyyy-MM-dd HH:mm:ss.SSS}] [%X{traceId}] [%thread] %-5level %logger{80} %line - %msg%n</Pattern>
www服务支持TRACE请求“漏洞
juan_php_user的博客
09-26 1343
采用拦截器来过滤所有的trace请求->启动类增加配置来实现,或者和内嵌式tomcat一样直接添加Jetty配置类来实现也可以。在服务器漏扫中经常遇到"www服务支持TRACE请求"漏洞,绿盟扫描器所提供修复建议有不适用的情况。对已经处理过的不同应用禁用TRACE请求做一总结记录。注:在tomcat的在server.xml中先允许TRACE请求,再在web.xml中禁用TRACE,以此禁用TRACE请求.注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件。
zookeeper关于 www支持trace请求漏洞修复方法
编程随手记
01-04 2060
一个是adminServer口, 这个升级到>=3.6.2版本可以解决 还有个事prometheus监控的server服务 这个需要修改源码, PrometheusMetricsProvider 继承 用这个类去启动prometheus监控服务 然后重新编译这个类, 在zk安装目录, 创建build/classes目录, 将编译好的类放入这个目录下, 重启服务, 现在zk的prometheus监控服务已经不支持trace访问了, 漏洞修复。 ...
管理员应禁用WWW服务TRACE请求支持
06-10
是的,为了防止攻击者利用 TRACE 请求方法进行跨站脚本攻击和其他类型的攻击,Web 服务器管理员应该禁用 WWW 服务TRACE 请求支持。禁用 TRACE 请求方法的方法因 Web 服务器而异,但通常可以通过修改服务器配置文件或使用安全模块或插件来实现。同时,管理员还应该定期更新 Web 服务器软件以修复已知的漏洞,并采取其他安全措施,如使用 HTTPS 协议来保护敏感数据的传输。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值