IIS上的项目网站关闭Http请求中的Trace和OPTIONS

最新推荐文章于 2024-06-04 10:00:00 发布
最新推荐文章于 2024-06-04 10:00:00 发布
阅读量4.4k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XR1986687846/article/details/89345899
版权

IIS上的项目网站关闭Http请求中的Trace和OPTIONS

目的:阻止一些注入漏洞。

方法一:

1、打开服务器IIS,在网站节点下选中相应网站,在右侧IIS下双击“请求筛选”,如图:

 

2、进入如图所示页面,选中tab标签的HTTP谓词,点击右侧“拒绝谓词”,填写Trace,确定即可,再添加拒绝谓词“OPTIONS”,确定即可。

 

方法二:

 

1直接在网站Web.config文件中进行如下操作:

在Web.config中的<system.webServer>节点内添加以下配置即可:


<security>
<requestFiltering>
<verbs>
<add verb="OPTIONS" allowed="false" />
<add verb="Trace" allowed="false" />
</verbs>
</requestFiltering>
</security>

posted @ 2018-12-29 10:22 波霸38 阅读( ...) 评论( ...) 编辑 收藏
波霸38
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IIS关闭TraceOPTIONS方法
weixin_30332241的博客
04-16 1204
方法(1):web.config 在<configuration>节点下添加如下代码: <system.webServer> <security> <requestFiltering> <verbs allowUnlisted="false"> <add verb="GET" allowed="true"/> <add ...
禁用HTTP跟踪/跟踪
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-24 3343
完整请求(包括HTTP标头,可包括cookie或身份验证数据等敏感信息)将在TRACE响应的实体主体返回。该请求主要由开发人员用于测试和调试HTTP应用程序,并且在大多数Web服务器软件默认可用。2、Doris部署BE后端时,会使用python的SimpleHTTPServer(生产环境不建议使用,它只实现了简单的安全性)或http.server模块(不建议生产)来快速实现web服务。3、基于上,更换doris的web为http或nginx来实现。在http和nginx上实现禁用trace。...
【已解决】IIS环境检测到网站存在响应头缺失、禁用Options方法、解决跨域攻击等不安全
最新发布
A_991128a的博客
06-04 692
环境下的网站存在响应头缺失漏洞如下1、检测到目标X-Content-Type-Options响应头缺失2、检测到目标X-XSS-Protection响应头缺失3、检测到目标Content-Security-Policy响应头缺失 IIS设置4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 9541
远端WWW服务支持TRACE请求
web 禁用 OPTIONS方法启用【原理扫描】
tone1128的博客
07-13 738
Web服务器上启用了HTTP OPTIONS方法。OPTIONS方法提供了Web服务器支持的方法列表,它表示对有关由Request-URI标识的请求/响应链上可用的通信选项的信息的请求。
IIS 部署的应用禁用HTTP TRACE / TRACK方法【原理扫描】
tone1128的博客
07-13 4049
远程Web服务器支持TRACE和/或TRACK方法。TRACE和TRACK是用于调试Web服务器连接的HTTP方法。
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭Apache的TRACE请求 •虚拟主机用户可以在.htaccess文件添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
OPTIONS方法禁用
热门推荐
zqhao的博客
03-13 2万+
在给系统做安全检测的过程,发现了一个低危安全性问题,检测到目标服务器启用了OPTIONS方法。 OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。 解决...
动易安装SF5.9时出现“applicationInitialization”错误的解决方法
优美模板
05-25 675
全新安装动易SF5.9时出现“无法读取配置节"applicationInitialization"因为他缺少节声明”的错误提示。如下图所示: 当前服务器环境是net2.0+iis7。 解决方法 注释掉web.config的这段代码即可。 </denyUrlSequences> <verbs> <add verb...
IIS+PHP 接口跨域options预请求被IIS拦截处理
Ay_Sunner的博客
09-07 212
iis 预请求处理被拦截 跨域
如何禁用不需要的HTTP方法
icontent
09-24 1021
转自:如何禁用不需要的HTTP方法IIS7 0默认开启了不安全的OPTIONSTRACE方法,建议关闭这两个方法。以下环境为windows server 2008、IIS7 0方法(1):web config在https://www.pinlue.com/article/2019/06/0614/549119750211.html ...
如何关闭http MethodsTrace 提高安全意识
01-20
使用Nikto测试服务器,发现HTTP开启了trace方法。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决: 禁用这些方式。 在配置文件http.conf 添加 TraceEnable off 即可关闭
服务器禁用TRACE和TRACK方法
qq_38293154的博客
05-08 1万+
http://wenku.baidu.com/view/557d761ea8114431b90dd873.html http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)...
apache禁用不安全的http法_在apache禁止 http OPTIONS方法. apache disable http OPTIONS method...
weixin_39847556的博客
01-14 761
v512345:转载地址:http://www.cnblogs.com/xuanhun/p/3610981.html|@|针对点击劫持的基本防御方法。|@|1.2 Frame Bursters|@||@|这是在页面上通过脚本来防止点击劫持或者iframe恶意请求的方式,本文不做介绍,详见http://seclab.stanford.edu/websec/framebusting/framebus...
如何关闭和测试Apache服务器的TRACE请求
向技术大牛致敬
02-20 3502
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 关闭Apache的TRACE...
如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK
锐意工作室
09-11 1万+
文章目录如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK前言测试应用是否允许HTTP TRACE禁用Spring Boot内置的Undertow的HTTP TRACE/TRACK参考文档 如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK 前言 因为安全原因,需要禁用Spring Boot内置Web服务器的HTTP TRACE/TRACK方法。 Spring Boot版本:spring-boot:2.2.2.RELEASE 内置Web服
Apache的Track/trace请求漏洞修补(关闭其请求类型并测试是否关闭
向技术大牛致敬
03-21 5357
一.先测试是否允许 Track/trace 请求 操作流程: 1.先打开windows的命令工具,开始进行如下测试↓↓↓↓↓↓↓ 测试方法: 通过telnet到HTTP的某个服务端口,进行测试,如下描述(红色为你要输入的部分)。 关闭前测试会返回200 OK: [root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80 Trying xxx.xxx.xxx.xxx.....
ASP.NET与IIS交互:揭秘HTTP请求处理流程
IIS(Internet Information Services)是微软提供的一款Web服务器软件,集成在Windows操作系统,用于托管和管理网站和应用程序。IIS的工作原理涉及多个步骤,从客户端发起HTTP请求开始,经过网络传输,到达IIS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值