Apache服务器禁用TRACE Method防范XSS跨站攻击

最新推荐文章于 2024-06-08 08:02:26 发布
最新推荐文章于 2024-06-08 08:02:26 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 安全防护 文章标签: TRACE Method Apache

Apache服务器启用了TRACE Method。

1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。

2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本简称XSS攻击,这种攻击方式又称为跨站跟踪攻击简称XST。

危害:

1. 恶意攻击者可以通过TRACE Method返回的信息了解到网站前端的一些信息,如缓存服务器等,从而为下一步的攻击提供便利。

2.恶意攻击者可以通过TRACE Method进行XSS攻击

3.即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息,那么通过TRACE Method恶意攻击者还是可以绕过这个限制读取到cookie信息。

解决方案:

在httpd.conf的尾部添加:

TraceEnable off

备注:UPUPW Apache版已经修复此漏洞

7禧
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
快速学习-XXL-JOB总体设计
逍遥云恋
09-22 1069
五、总体设计 5.1 源码目录介绍 - /doc :文档资料 - /db :“调度数据库”建表脚本 - /xxl-job-admin :调度中心,项目源码 - /xxl-job-core :公共Jar依赖 - /xxl-job-executor-samples :执行器,Sample示例项目(大家可以在该项目上进行开发,也可以将现有项目改造生成执行器项目) 5.2 “调度数据库”配置 XXL-JOB调度模块基于自研调度组件并支持集群部署,调度数据库表说明如下: - xxl_job_lock:任务调度锁表;
PHP、Apache环境中部署xsslabs(XSS跨站脚本攻击靶场)
01-08
PHP、Apache环境中部署xsslabs(XSS跨站脚本攻击靶场)
禁用Apache的Options和Trace方法
netuser1937的博客
12-19 1万+
禁用Apache的Options和Trace方法
apache 关闭TRACE请求,禁止跨站攻击XSS攻击
最新发布
qq_25096749的博客
06-08 382
详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html。注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理。2、apache禁止tracetrack防止xss攻击。1、什么事XSS攻击
最详细的xxl-job java配置方式spring-boot
weixin_44055234的博客
06-05 1676
————XXL-JOB*是一个轻量级分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。且支持线上编写调度任务。 如何集成? 去gitee或者github下载源代码 goto xxl-job 下载或者克隆后用idea 打开项目或直接用idea克隆项目到本地 在项目的doc文件夹下有个db文件夹 ,db文件夹下的sql脚本是xxl-job运行最基本的数据库和表,用sqlyol或Navicat 运行脚本,或者其他方式执行sql脚本
禁止远端WWW服务支持TRACE请求
AXW2013的专栏
03-18 1万+
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。TRACETRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决办法:管理员应禁用WWW服...
ThinkPHP2.x防范XSS跨站攻击的方法
12-19
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本。在ThinkPHP2.x框架中,存在一个可能导致XSS攻击的风险,即当URL参数中包含恶意脚本时,ThinkPHP的异常...
Apache服务器关闭TRACE Method请求方式的方法
09-15
这是因为支持TRACE请求的服务器可能存在跨站脚本漏洞(Cross-Site Tracing,简称XST),这使得攻击者有可能通过欺骗手段获取用户的敏感信息,从而对网站的安全构成威胁。 跨站脚本漏洞(Cross-Site Scripting,XSS...
PHP和XSS跨站攻击防范
10-30
PHP和XSS跨站攻击防范
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 9281
远端WWW服务支持TRACE请求
防止跨站点脚本攻击
Kc
03-10 3533
2004 年 2 月 03 日2008 年 7 月 28 日 更新 当攻击者向动态表单引入恶意脚本以便获取私人会话信息时,就会发生跨站点脚本攻击XSS)。在本文中,Anand K. Sharma 揭示了容易受 XSS 攻击的领域,解释了用户如何进行自我保护,以及站点管理员如何才能保护站点免受这类恶意入侵。 大多数现有的浏览器都能解释和执行来自 Web 服务器的嵌入到 Web 页面下载
常见的基本漏洞以及一些防范方法
m0_63081418的博客
08-14 513
个人总结的一些基本漏洞的类型,大佬勿喷
android定义图片,Android 自定义图片资源
weixin_39814454的博客
05-26 174
一、重复图片的平铺利用 --BitmapDrawable.java使用XML方式平铺,简单、固定android:antialias="true"android:dither="true"android:src="@drawable/ic_launcher"android:tileMode="repeat">1.antialias是否启用抗锯齿功能2.dither是否启用抖动效果抖动:图像...
Reflected XSS All Clients漏洞修复
Hhhh_cccc的博客
05-13 8697
package com.smartcity.util; import org.apache.poi.ss.formula.functions.T; import org.owasp.esapi.codecs.MySQLCodec; /** * @author allen smith * @date 2020-04-27 0027 11:18 */ public class ESAPI { private static ESAPI instance = new ESAPI(); .
java xss编码注入漏洞,Java编码安全漏洞之:跨站
weixin_35941667的博客
03-13 1891
Reflected_XSS_All_Clients反射跨站,来自用户的数据直接输出到客户端。修复建议使用跨站修复函数处理输出到客户端的数据字符串。修复示例如:public void XSS(HttpServletRequest request, HttpServletResponse response){String text = request.getParameter("text");Syst...
关闭Apache服务器TRACE请求
hzjhss的博客
09-03 387
如何关闭Apache服务器TRACE请求?
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
Apache网页安全优化
ItookapillinNJ的博客
04-04 160
文章目录概述隐藏版本信息网页压缩配置 mod_deflate 模块启用检查安装情况并启动服务测试网页压缩是否完成网页缓存配置mod_expires 模块启用检查安装情况,启动服务测试缓存是否生效Apache防盗链配置 mod_rewrite 模块启用提前放置错误图片并重启服务用另一台主机当作盗链网站 概述 在企业中,部署Apache后只采用默认的配置参数,会引发网站很多问题,换言之默认配置是针对以前较低的服务器配置的,以前的配置已经不适用当今互联网时代 为了适应企业需求,就需要考虑如何提升Apache的性
Apache服务器安全防范
cyd1986的博客
11-12 432
Apache服务器走到那里,unix/linux就跟到那里,这足以说明在WEB服务器领域Apache的优良性能与市场占有率 这今天互联网的大环境下,web服务已经成为公司企业必不可少的业务,大多数的安全问题也跟随而来,攻击重点也转移为web攻击,许多web与颇有价值的客户服务与电子商业活动结合在一起,这也是吸引恶意攻击重要原因。 先来了解下web所面临的安全风险 HTTP拒绝服务攻击...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击-运维安全详细笔记

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值