启用 HTTP TRACE 方法

最新推荐文章于 2024-05-31 09:00:00 发布
最新推荐文章于 2024-05-31 09:00:00 发布
阅读量1.2w 收藏 2
点赞数
分类专栏: Tomcat 文章标签: server microsoft 服务器 web methods web服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caolaosanahnu/article/details/7450094
版权

http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/zh_CN/HTML/am51_webseal_guide32.htm

RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(loopback)。请求的接收方是源服务器或第一个代理或接收请求中零(0)Max-Forwards 值的网关。”

黑客已使用 TRACE 方法来实现对 Web 服务器的安全性攻击。为提供优化的安全性,缺省情况下 WebSEAL 阻塞所有请求的 TRACE 方法到达 WebSEAL 服务器。

您可以通过在 WebSEAL 配置文件中设置两个条目启用 TRACE 方法(禁用阻塞)。

要为本地响应启用 TRACE 方法,请设置以下条目:

[server]
http-method-trace-enabled = yes

要为联结的响应启用 TRACE 方法,请设置以下条目:

[server]
http-method-trace-enabled-remote = yes

缺省的 WebSEAL 配置文件不为这些配置文件条目设置任何值。WebSEAL 的缺省行为(即使当未指定配置文件条目时)将阻塞所有 TRACE 方法。

 

===http://www.pc51.net/server/web/apache/2006-12-21/294.html

你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。

支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。

攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

解决方案: 禁用这些方式。


如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE请求,或者只开放满足站点需求和策略的方式。

如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句:
<Client method="TRACE">
AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
</Client>

如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更低的版本, 编译如下地址的NSAPI插件:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603


参见http://www.whitehatsec.com/press_releases/WH-PR-20030120.pdf
http://archives.neohapsis.com/archives/vulnwatch/2003-q1/0035.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603
http://www.kb.cert.org/vuls/id/867593

风险等级: 中
___________________________________________________________________


The remote webserver supports the TRACE and/or TRACK methods. TRACE and TRACK
are HTTP methods which are used to debug web server connections.

It has been shown that servers supporting this method are subject
to cross-site-scripting attacks, dubbed XST for
"Cross-Site-Tracing", when used in conjunction with
various weaknesses in browsers.

An attacker may use this flaw to trick your legitimate web users to
give him their credentials.


Solution :
Add the following lines for each virtual host in your configuration file :

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]


See also http://www.kb.cert.org/vuls/id/867593
Risk factor : Medium
BUGTRAQ_ID : 9506, 9561, 11604
NESSUS_ID : 11213

Empire CMS,phome.net

caolaosanahnu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP 方法
一把健
02-01 419
HTTP 方法 以下介绍 HTTP 1.1 中可使用的方法: GET: 获取资源 POST: 传输实体主体(可理解为添加记录 PUT: 传输文件(或更新记录 DELETE: 删除文件(或删除记录 HEAD: 获取报文首部 OPTIONS: 询问支持的方法 TRACE: 追踪路径(不常用 CONNECT: 要求用隧道协议链接代理 GET: 获取资源 GET 方法用来请求已被 URI 识别的资源。...
启用了不安全的http方法漏洞
01-09
web.xml文件中配置下面一段内容 <url-pattern>/* <http-method>PUT</http-method> <http-method>DELETE</http-method> ... <http-method>TRACE</http-method> <auth-method>BASIC </login-config>
如何关闭http Methods中的Trace 提高安全意识
01-20
使用Nikto测试服务器,发现HTTP开启了trace方法TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决: 禁用这些方式。 在配置文件http.conf 添加 TraceEnable off 即可关闭。
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭Apache的TRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
掌握 Go 语言:使用 net/http/httptrace 包优化HTTP请求
最新发布
walkskyer的博客
05-31 733
在现代软件开发中,网络编程扮演着至关重要的角色。随着应用程序变得越来越依赖于网络通信,开发者需要更有效的工具来监控和优化网络请求。Go语言,作为一门高效的系统编程语言,提供了丰富的标准库来支持网络相关的开发工作。其中,包为HTTP请求提供了深入的跟踪能力。httptrace包的设计目标是使开发者能够钩入HTTP请求的生命周期中的各个阶段,如连接的建立、连接复用的决策、请求的发送等,从而获得关于网络时延、网络错误以及性能瓶颈的详细信息。这种深入的信息获取能力,使得开发者可以对网络请求进行细粒度的分析和优化。
HTTP的请求常用方法
伟迷不正的博客
12-10 1556
HTTP的请求常用方法:
深入探讨TRACE请求:解析、用途和安全性分析
博客
08-08 2928
TRACE请求是一种用于回显服务器收到的请求的HTTP方法。当客户端发送TRACE请求时,服务器将原始请求报文作为响应返回给客户端,用于检查或调试请求的传输过程。调试:通过回显请求报文,开发人员可以查看请求在传输过程中是否被修改,以及服务器对请求的处理过程。诊断:TRACE请求可以用于诊断网络问题,例如检查请求是否被正确地转发到目标服务器。测试:开发人员可以利用TRACE请求测试API的可用性和正确性。TRACE请求作为一种特殊的HTTP请求方法,在Web开发中具有重要的作用。
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 9375
远端WWW服务支持TRACE请求
HTTP请求类型详解
weixin_42277815的博客
05-19 1440
1.GET请求 最常见的一种请求方式,主要用于向指定的URL(URI)请求资源,请求参数和对应的值附加在URL后面。例如,/index.jsp?id=100&op=bind,。 这种方式不适合传送私密数据。由于不同的浏览器对地址的字符限制也有所不同,一般最多只能识别1024个字符,所以如果需要传送大量数据的时候,也不适合使用GET方式。 GET不会改变资源状态,是等幂的。即:一次请求和多次请求,资源的状态是一样。GET、HEAD、DELETE、PUT也是等幂的。 2.POST请求 主要是向指定的UR
ct.zip_trace
09-14
在数据库出现问题时,DBA通常会启用SQL Trace,生成跟踪文件,然后利用像"ct.pl"这样的工具来分析和理解这些文件。 首先,我们需要了解SQL Trace的基本原理。当SQL Trace被激活时,Oracle数据库会记录每一个SQL语句...
关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法
暖风
01-05 2722
基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP X-Permitted-Cross-Domain-Policies缺失,会话Cookie中缺少HttpOnly属性,会话Cookie中缺少s
HTTP请求方法:GET、HEAD、POST、PUT、DELETE、CONNECT、OPTIONS、TRACE 说明
weixin_48670670的博客
05-18 1468
平时的Rest开发,用到的都是GET,POST,PUT,DELETE类型的请求。但Rest支持的请求类型不止前面4种,还有其他几种。 超文本传输协议(HTTP, HyperText Transfer Protocol)是一种无状态的协议,它位于OSI七层模型的传输层。HTTP客户端会根据需要构建合适的HTTP请求方法,而HTTP服务器会根据不同的HTTP请求方法做出不同的响应。 1. HTTP版本与HTTP请求方法HTTP的发展过程中,出现了很多HTTP版本,其中的大部分协议都是向下兼容的。在进行HTT
HTTP TRACE
04-17 5675
http://www.guanwei.org/post/applicationsecurity/11/HTTP-TRACE.html 原文地址
HTTP第八讲——请求方法
Elon15的博客
05-11 641
目前 HTTP/1.1 规定了八种方法,单词都必须是大写的形式既然请求方法是一个“指示”,那么客户端自然就没有决定权,服务器掌控着所有资源,也就有绝对的决策权力。它收到 HTTP 请求报文后,看到里面的请求方法,可以执行也可以拒绝,或者改变动作的含义,毕竟 HTTP 是一个“协议”,两边都要“商量着来”。
常见HTTP请求方式
weixin_62626298的博客
10-26 661
http的请求方式介绍
HTTP TRACE / TRACK Methods Allowed 问题修复
qq_37716298的博客
04-26 2173
HTTP TRACE / TRACK Methods Allowed问题修复 import org.apache.catalina.Context; import org.apache.tomcat.util.descriptor.web.SecurityCollection; import org.apache.tomcat.util.descriptor.web.SecurityConstraint; import org.springframework.boot.SpringApplication;
检测到目标服务器启用TRACE方法
weixin_30344795的博客
10-23 2419
TRACE方法HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容。启用TRACE方法存在如下风险:1、恶意攻击者可以通过TRACE方法返回的信息了解到网站前端的某些信息,如缓存服务器等,从而为进一步的攻击提供便利。2、恶意攻击者可以通过TRACE方法进行XSS攻击。3、即使网站对关键页面启用HttpOnly头标记和禁止脚本读取cookie信息...
trace方法的利用,以及CSRF+XSS的一些思路
weixin_51681694的博客
05-01 1169
trace方法的利用,以及CSRF+XSS组合拳的一些思路
远程WWW服务支持TRACE请求
zhangnana200的博客
09-27 5847
最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务对TRACE请求的支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 远端WWW服务支持TRACE请求。RFC 2616介绍了T
trace32 trace list
08-28
trace32 trace list是trace32工具中的一个命令,用于查看实时跟踪记录的信息。该命令可以显示包括语句和语句的执行时间在内的信息,并提供了其他功能,如查看函数跳转执行情况等。要使用trace32的trace list功能,需要首先检测是否启用trace功能,并进行相应的配置。点击trace->configuration,然后选择AutoFocus以确保trace功能可以正常使用。然后,点击trace->configuration打开config窗口,并点击list按钮即可查看实时跟踪记录的信息。还可以使用其他选项如chart、profile和mips来查看其他具体情况。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [劳特巴赫trace32使用介绍(二)](https://blog.csdn.net/shacheyoumen/article/details/112601740)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值