Apache-Trace method服务问题

最新推荐文章于 2023-11-24 09:39:34 发布
最新推荐文章于 2023-11-24 09:39:34 发布
阅读量3.1k 收藏
点赞数
分类专栏: apache 文章标签: apache 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DellsWeiner/article/details/121329606
版权

目标web服务器启用了trace method

trace method是http协议定义的一种协议调试方法,该方法会是服务器原样返回任意客户端请求的内容,可用来进行跨站脚本xss的攻击,又称跨站跟踪攻击xst

危害:可以通过trace method返回的信息了解到网站前端的信息,即使网站对关键页面做了httponly头标记和禁止脚本读取cookie信息,trace method还是可以绕过这个限制读到cookie

如何禁用

在Apache配置文件httpd-conf中【VirtualHost】各虚拟主机配置文件里添加以下代码:

先确认rewrite模块激活httpd.conf里面下面一行没有被注释

LoadModule rewrite_module modules/mod_rewrite.so

单独禁用Trace方法:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

例如

<VirtualHost *:80>
    DocumentRoot "D:\wwwroot"
    ServerName www.abc.com
    ServerAlias abc.com
  <Directory "D:\wwwroot">
      Options FollowSymLinks ExecCGI
      AllowOverride All
      Order allow,deny
      Allow from all
      Require all granted
      RewriteEngine on
      RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
      RewriteRule .* - [F]
  </Directory>
</VirtualHost>

2.0.55以上版本的apache服务器,可以在httpd.conf尾部添加

TraceEnable off

如何验证apachetrace是否关闭

在需要测试的服务器上telnet 其他服务器

如:

telnet 10.164.26.83 8888

出现:

Trying 10.164.26.83...

Connected to 10.164.26.83.

Escape character is '^]'.

后输入:

TRACE / HTTP/1.0
X-Test:abcde

看输出结果:

HTTP/1.1 405

Allow: OPTIONS

Content-Type: text/html;charset=utf-8

Content-Language: en

Content-Length: 734

Date: Mon, 15 Nov 2021 01:58:11 GMT

Connection: close

返回结果405说明关闭  200说明未关闭

再吃一碗zzzzzdl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apache-maven-3.8.6.zip
08-15
apache-maven-3.8.6-bin.zip apache-maven-3.8.6-bin.zip apache-maven-3.8.6-bin.zip apache-maven-3.8.6-bin.zip apache-maven-3.8.6-bin.zip apache-maven-3.8.6-bin.zip apache-maven-3.8.6-bin.zip apache-...
apache-skywalking-apm-8.5.0.tar.gz
01-03
apache skywalking apm apache-skywalking-apm-8.5.0.tar.gz apache-skywalking-apm 8.5.0
服务器默认开启Trace Method的潜在风险及解决方法
Mr.Bean
09-18 5241
Trace Method 的潜在风险及解决方法 结论 先贴结论,虽然官方声称该功能并无安全问题,然而禁用Trace带来的负面影响微乎其微,同时Appache官方也在1.3.34 和2.0.55加入了TraceEnable Off来简单的关闭该功能。故建议关闭该功能以防潜在风险。 顺带一提如果你的服务器没有用Appache服务器,如jetty的话,你可以搜索jetty Trace Method 来看...
TRACE Method 网站漏洞,你关闭了吗
大山里的人...
06-27 1089
链接:http://java-er.com/blog/trace-method-apache/
Apache服务器关闭TRACE Method请求方式
10-26 4393
我们知道TRACE和TRACK是用来调试web服务器连接的HTTP方式.支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST. 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息.我们要禁用trace可以使用rewrite功能来实现RewriteEngine On RewriteCondi %{REQUEST_METHOD}
apache禁用PUT、DELETE、TRACE等危险方法
linwha1990的博客
09-30 5352
在httpd.conf中增加,只允许GET、POST、OPTIONS方法 <Location "/"> AllowMethods GET POST OPTIONS </Location> 重启apache systemctl restart httpd.service
apache-jmeter-5.6.3
最新发布
01-08
apache-jmeter-5.6.3.zip apache-jmeter-5.6.3.tgz apache-jmeter-5.6.3_src.zip apache-jmeter-5.6.3_src.tgz
apache-maven-3.8.8.zip
08-04
apache-maven-3.8.8.zip压缩包内容: apache-maven-3.8.8-bin.tar.gz apache-maven-3.8.8-bin.zip apache-maven-3.8.8-src.tar.gz apache-maven-3.8.8-src.zip
Apache服务器关闭TRACE Method请求方式的方法
09-15
主要介绍了Apache服务器关闭TRACE Method请求方式的方法,因为支持该方式的服务器存在跨站脚本漏洞,需要的朋友可以参考下
Apache支持TRACE请求漏洞处理方案
weixin_33725272的博客
05-05 721
trace和get一样是http的一种请求方法,该方法的作用是回显收到的客户端请求,一般用于测试服务器运行状态是否正常。   该方法结合浏览器漏洞可能造成跨站脚本攻击。修复方法如下: 编缉/etc/httpd/conf/httpd.conf在其尾部追加: TraceEnable Off 保存然后进入重启apache即可: service httpd restart   说明: 要确认存在...
Web安全测试实战之测试HTTP方法
华为云官方博客
09-02 2935
一、Http方法测试 有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 测试方法: 1、打开webscarab,找到manual request这个标签 2、在Request的Parsed的Method中填入OPTIONS 3、在URL中填入我们的待测环境中的一个静态页面 4、在Version中...
如何使用Method Trace 来分析代码流程
Happy learning
12-19 2226
之前有简单了解过Method Trace,之前对他的了解是可以用来分析性能问题,比如某个方法的耗时,由于SysTrace 分析性能问题更优,就把Method Trace 渐渐忘记了. 最近看到网上有人用Method Trace 来分析代码流程,发现对自己平时分析系统源码太有用了,就记录一下使用的办法. 1.打开Android Studio 的Profile 窗口 正常操作的情况下点击工具栏的Profile 按钮就可以,如果点击Profile 后,窗口消失了,可以把鼠标放到Android Studio 左.
如何关闭Apache服务器的TRACE请求
热门推荐
andy1219111的专栏
07-05 2万+
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 如何关闭Apac
Web常见漏洞描述及修复建议
PromisingQ
08-26 1458
1.SQL注入   漏洞描述   Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。   修复建议 代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。   (1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量
启用了危险的Method
曉儂
09-06 3315
漏洞名称: 启用了危险的Method 描述: 目标WEB服务器启用了TRACE Method。 1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本(简称XSS)攻击,这种攻击方式又称为跨站跟踪攻击(简称XST)。 危害: 1. 恶意...
linux低微漏洞处理集合
shufusheng的博客
03-03 2508
linux低微漏洞处理集合
Apache 禁用远端WWW服务支持TRACE请求
zhg13361的博客
11-24 465
【代码】Apache 禁用远端WWW服务支持TRACE请求。
启用 HTTP TRACE 方法
走马观花
04-11 1万+
http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/zh_CN/HTML/am51_webseal_guide32.htm RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(loopback)。请求的接收方是源服务器或第一个代理或接收请求中零(0)Max-Forwards
xss .htaccess apache
07-27
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] ``` 上述代码中,首先我们使用mod_headers模块设置了X-XSS-Protection和X-Content-Type-Options响应头,用来告诉浏览器开启XSS保护和阻止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值