如何关闭Apache服务器的TRACE请求

最新推荐文章于 2024-06-08 08:02:26 发布
最新推荐文章于 2024-06-08 08:02:26 发布
阅读量2.1w 收藏 3
点赞数
文章标签: 服务器 apache .htaccess web服务 浏览器 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy1219111/article/details/7718553
版权

TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。

TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

如何关闭Apache的TRACE请求

 

•虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求:

 

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
 

•服务器用户在httpd.conf尾部添加如下指令后重启apache即可:

 

TraceEnable off
andy1219111
关注
web漏洞-远端WWW服务支持TRACE请求
qq_35578446的博客
06-13 1万+
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。
远程WWW服务支持TRACE请求
热门推荐
草衣的博客
05-30 2万+
最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务TRACE请求的支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭ApacheTRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
apache隐藏版本号信息和关闭trace方法
06-20
apache隐藏版本号信息和关闭trace方法
如何关闭和测试Apache服务器TRACE请求
向技术大牛致敬
02-20 3846
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 关闭ApacheTRACE...
检测到目标服务器启用了trace方法_目标检测中mAP的计算方法
weixin_39555415的博客
11-20 250
2020.3.10 更新:“计算过程”部分的伪代码更新了一下,“举例说明”增加了一些内容。2020.3.31 更新:“举例说明”增加Precision、Recall和PR曲线具体计算方法部分,新增“python代码”部分前言:基本上所有的中文文章都会告诉你什么是mAP,什么是Precision、Recall、TP、FP、FN,但就是不讲清楚到底该怎么计算,应该先算什么再算什么,在项目中应该怎么自...
apache 关闭TRACE请求,禁止跨站攻击(XSS攻击)
最新发布
qq_25096749的博客
06-08 785
详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html。注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理。2、apache禁止trace或track防止xss攻击。1、什么事XSS攻击。
apache 禁止trace或track防止xss攻击
weixin_34218579的博客
11-12 944
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。禁用trace可以使用rewrite功能来实现RewriteEngine OnRewriteCondi %{REQ...
Apache 禁用远端WWW服务支持TRACE请求
zhg13361的博客
11-24 890
【代码】Apache 禁用远端WWW服务支持TRACE请求
Apache服务器关闭TRACE Method请求方式
10-26 4473
我们知道TRACE和TRACK是用来调试web服务器连接的HTTP方式.支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST. 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息.我们要禁用trace可以使用rewrite功能来实现RewriteEngine On RewriteCondi %{REQUEST_METHOD}
Spring Boot异常处理静止trace
08-25
主要介绍了Spring Boot异常处理静止trace,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 1万+
远端WWW服务支持TRACE请求
启用了危险的Method
曉儂
09-06 3580
漏洞名称: 启用了危险的Method 描述: 目标WEB服务器启用了TRACE Method。 1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本(简称XSS)攻击,这种攻击方式又称为跨站跟踪攻击(简称XST)。 危害: 1. 恶意...
服务器默认开启Trace Method的潜在风险及解决方法
Mr.Bean
09-18 5735
Trace Method 的潜在风险及解决方法 结论 先贴结论,虽然官方声称该功能并无安全问题,然而禁用Trace带来的负面影响微乎其微,同时Appache官方也在1.3.34 和2.0.55加入了TraceEnable Off来简单的关闭该功能。故建议关闭该功能以防潜在风险。 顺带一提如果你的服务器没有用Appache服务器,如jetty的话,你可以搜索jetty Trace Method 来看...
tomcat原理以及处理HTTP请求的过程
前进的南山
07-10 2464
一、TOMCAT 1 - Tomcat Server的组成部分 1.1 - Server A Server element represents the entire Catalina servlet container. (Singleton) 1.2 - Service A Service element represents the combination of o
启用 HTTP TRACE 方法
走马观花
04-11 1万+
http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/zh_CN/HTML/am51_webseal_guide32.htm RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(loopback)。请求的接收方是源服务器或第一个代理或接收请求中零(0)Max-Forwards
解决远端www服务支持TRACE请求的几种方式
qq_44691484的博客
05-31 1万+
trace问题
Apache重写规则参数
吕秀军的博客
09-13 922
Apache模块 mod_rewrite 服务器变量: 引用方法是 %{ NAME_OF_VARIABLE } NAME_OF_VARIABLE可以是下表列出的字符串之一: HTTP headers: connection & request: HTTP_USER_AGENT HTTP_REFERER HTTP_COOKIE HTTP_FORWARDED HTTP_HOST HTTP_PRO
Resin服务器配置及HTTP请求方法详解
9. TRACE请求用于诊断目的,它显示请求/响应过程的最终接收者。 描述部分还提及了System.getProperty方法,这是Java中用于获取系统属性的方法。例如,java.version、java.home、os.name等属性可用来获取Java运行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值