禁止远端WWW服务支持TRACE请求

最新推荐文章于 2024-06-08 08:02:26 发布
最新推荐文章于 2024-06-08 08:02:26 发布
阅读量1.8w 收藏 6
点赞数 1
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AXW2013/article/details/79603121
版权

TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。

TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

 

解决办法:

管理员应禁用WWW服务对TRACE请求的支持。

         步骤:

1.    停止Apache服务

2.    修改httpd.conf文件

①  激活rewrite模块(去掉符号#)

LoadModulerewrite_module modules/mod_rewrite.so

<Directory />Options FollowSymLinks   AllowOverride None  </Directory> 

将AllowOverride None 改成 AllowOverride ALL 这样Apache的mod_rewrite就开启了。

 

②  启用Rewrite引擎

RewriteEngineOn

③  对Request中的Method字段进行匹配,^TRACE 即以TRACE字符串开头

RewriteCond %{REQUEST_METHOD} ^TRACE

④  定义规则:对于所有格式的来源请求,均返回[F]-Forbidden响应

RewriteRule .* - [F]

 

         对于2.0.55以上版本的apache服务器,有一种更简单的办法:

         TraceEnableoff

3.   启动Apache服务。

 

AXW2013
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
远程WWW服务支持TRACE请求
草衣的博客
05-30 2万+
最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务TRACE请求支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE
网站常见漏洞及解决办法
09-29
远端WWW服务支持TRACE请求 解决方法: ①开启Apache 的mod_rewrite功能: 在Apahce的配置文件httpd.conf中把#LoadModule rewrite_module modules/mod_rewrite.so前的#去掉 在httpd.conf中找到下面这段 Options FollowSymLinks AllowOverride None 将AllowOverride None 改成 AllowOverride ALL 这样Apache的mod_rewrite就开启了。 ②在httpd.conf最后加上 RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] 禁用URL,返回403HTTP状态码
Apache服务器关闭TRACE Method请求方式的方法
09-15
主要介绍了Apache服务器关闭TRACE Method请求方式的方法,因为支持该方式的服务器存在跨站脚本漏洞,需要的朋友可以参考下
apache 关闭TRACE请求禁止跨站攻击(XSS攻击)
最新发布
qq_25096749的博客
06-08 393
详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html。注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理。2、apache禁止trace或track防止xss攻击。1、什么事XSS攻击。
屏蔽远端WWW服务支持TRACE请求-有效
02-06 1986
1. 2.0.55以上版本的Apache服务器,可以在httpd.conf的尾部添加:TraceEnable off 2.其它版本的Apache服务器可编辑httpd.conf文件: 激活rewrite模块(去掉符号 # ):LoadModule rewrite_module modules/mod_rewrite.so 在各虚拟主机的配置文件里添加如下语句: # 启用 Rewrite 引擎 RewriteEngine On # 对Request中的Method字段进行.
Apache 禁用远端WWW服务支持TRACE请求
zhg13361的博客
11-24 546
【代码】Apache 禁用远端WWW服务支持TRACE请求
远程WWW服务支持TRACE请求漏洞
huangbaokang的博客
04-30 3242
漏洞详细描述: 远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。 解决办法 1、停止Apache服务(以root权限登录) # cd /opt/IBM/H...
远端WWW服务支持TRACE请求
心有猛虎细嗅蔷薇
07-28 2042
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。...
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
coder_afly的博客
02-03 2666
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
关闭Domino中HTTP的Trace方法,防止xst攻击
adeyi的专栏
11-26 4713
打开Administrator中, 如果开启了internet站点配置 配置——Web——Internet站点配置——配置——允许的方法(trace的复选框去掉即可) 如果未开启Internet站点: data目录——notes.ini——增加配置 HTTPDisableMethods=TRACE, 配置完成后重启http服务器, 参考h
Spring Boot异常处理静止trace
08-25
Spring Boot 异常处理静止 trace 一、Spring Boot 异常处理简介 在 Spring Boot 应用程序中,异常处理是一个非常重要的方面。异常处理可以帮助我们更好地处理应用程序中的错误,提高应用程序的稳定性和可靠性。...
基于SpringBoot自动装配实现的对于OpenFeign扩展请求传递traceId,分布式服务日志查询串联标记
07-26
引用步骤: 1.基于SpringBoot自动装配,引用jar包即可,坐标如下: ... <artifactId>feignextend ...[%date{yyyy-MM-dd HH:mm:ss.SSS}] [%X{traceId}] [%thread] %-5level %logger{80} %line - %msg%n</Pattern>
远端WWW服务支持TRACE请求(渗透测试复现及修改)
qq_42449510的博客
07-30 8814
关闭TRACE方法一、TRACE漏洞信息漏洞描述漏洞危害二、验证方法1.1 配置Java 环境变量1.2 安装Burp Suite1.3 使用Burp suite测试三、关闭TRACE请求 一、TRACE漏洞信息 漏洞描述 目标WEB服务器启用了TRACE方法。TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(XSS)攻击,这种攻击方式又称
常见绿盟扫描主机漏洞及修复方案
热门推荐
06-11 1万+
1、服务支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】 中 修复意见: 建议升级openssl来进行修复,openssl-0.98m之后的版本就已经修复了该漏洞,使用了Secure Renegotiation。 2、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 中 修复意见: 对于NGINX的修补 修改nginx配置文件中的 ssl_ciphers项 ssl_ciphers"ECDHE-..
undertow 远端WWW服务支持TRACE请求漏洞修复
LOOPY_Y的博客
05-19 1099
undertow 远端WWW服务支持TRACE请求漏洞,复现方法和修复方法
解决远端www服务支持TRACE请求的几种方式
qq_44691484的博客
05-31 8409
trace问题
[CVE-2003-1567]主机支持TRACE漏洞,禁用方法
weixin_34402090的博客
05-27 2899
2019独角兽企业重金招聘Python工程师标准>>> ...
管理员应禁用WWW服务TRACE请求支持
06-10
是的,为了防止攻击者利用 TRACE 请求方法进行跨站脚本攻击和其他类型的攻击,Web 服务器管理员应该禁用 WWW 服务TRACE 请求支持。禁用 TRACE 请求方法的方法因 Web 服务器而异,但通常可以通过修改服务器配置文件或使用安全模块或插件来实现。同时,管理员还应该定期更新 Web 服务器软件以修复已知的漏洞,并采取其他安全措施,如使用 HTTPS 协议来保护敏感数据的传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值