springboot项目解决www的trace漏洞

最新推荐文章于 2024-06-07 14:48:51 发布
最新推荐文章于 2024-06-07 14:48:51 发布
阅读量5.2k 收藏 3
点赞数 3
分类专栏: spring boot 拦截器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzy_0412/article/details/108224559
版权

最近公司一直对安全方面抓的较紧,今天需要升级fastjson的漏洞,明天升级组件中引用的jackson漏洞,还有跨域等,这里针对项目中的一个远端WWW服务支持TRACE请求的漏洞解决进行记录下:

 

1、首先应用部署到linux环境后,检查trace漏洞用如下命令:

curl -i -s -k -X $'TRACE' \  -H $'Host: 10.11.10.11:9801' -H $'Pragma: no-cache' -H $'Cache-Control: no-cache' -H $'DNT: 1' -H $'Upgrade-Insecure-Requests: 1' -H $'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Safari/537.36 Edg/84.0.522.59' -H $'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9' -H $'Accept-Encoding: gzip, deflate' -H $'Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6' -H $'Connection: close'  \  $'http://10.11.10.11:9801/'

如果返回200这表明存在该漏洞。

最低0.47元/天 解锁文章
gzy_0412
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
coder_afly的博客
02-03 2680
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
如何在 Spring Boot 中进行分布式追踪
IT徐师兄
10-10 435
分布式追踪是一种监视分布式系统的方法,通过追踪和分析请求在不同服务之间的传递路径和时间来帮助诊断性能问题。跟踪器(Tracer):用于在请求进入和离开应用程序时创建唯一的跟踪标识符,并记录事件和时间戳。跟踪(Trace):代表一次请求的完整生命周期,包括多个服务和操作。跨度(Span):代表一次操作或事件,跨度通常包含有关操作的信息,如名称、持续时间和标签。采样(Sampling):用于确定哪些请求应该记录并进行跟踪,以防止数据过于庞大。
修复www服务trace漏洞
最新发布
weixin_44144092的博客
06-07 191
修复spring boot项目中的www trace漏洞
SpringBoot禁用TRACE请求
qq_41814311的博客
08-09 2628
最近项目在做安全漏洞扫描,结果报告中有关于 远端WWW服务支持TRACE请求漏洞
在医院五天,我把「链路追踪」整明白了
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
11-17 448
Python实战社群Java实战社群长按识别下方二维码,按需求添加扫码关注添加客服进Python社群▲扫码关注添加客服进Java社群▲作者 | 悟空聊架构来源 |悟空聊架构(ID:Pa...
springboot设置traceID
赶路人儿
04-03 3346
本文介绍如何基于 spring boot 获取、传递、使用一次会话的全局参数,并在所有链路日志中打印。
Spring Boot 日志文件
lfm1010123的博客
10-06 592
打印日志、日志级别、日志持久化、lombok、Slf4j
解决远端www服务支持TRACE请求的几种方式
qq_44691484的博客
05-31 8443
trace问题
SpringBoot+AOP+TraceID.pdf
01-04
SpringBoot+AOP+TraceID.pdf 本文档主要讲解了 SpringBoot 中 AOP(Aspect Oriented Programming)的应用和 TraceID 的实现。 AOP 基本概念 AOP 的 existence 目的是为了解耦,使得一组类可以共享相同的行为。在 ...
Spring Boot异常处理静止trace
08-25
静止 trace 信息可以帮助我们更好地诊断和解决应用程序中的错误。但是,在某些情况下,我们可能不需要打印静止 trace 信息,这时我们可以使用自定义的异常信息来禁用静止 trace。 三、Spring Boot 异常处理静止 ...
SpringBoot项目集成日志的实现方法
08-26
SpringBoot项目集成日志的实现方法 SpringBoot 项目集成日志是指在 SpringBoot 项目中实现日志记录的方法。日志记录是软件系统中的一种重要机制,用于记录软件系统的运行状态、错误信息和调试信息等。在 ...
springboot-logtrace
05-14
基于spring boot构建的微服务,服务之间... 应用启动后,就会使用注入的bean对request做解析 ##默认设备类型解析和扩展##  logtrace默认会解析请求的设备,包括:iphone、ipad、mac、windows、linux、android,详细见...
基于SpringBoot自动装配实现的对于OpenFeign扩展请求传递traceId,分布式服务日志查询串联标记
07-26
1.基于SpringBoot自动装配,引用jar包即可,坐标如下: <groupId>com.glzt</groupId> <artifactId>feignextend <version>1.0.0-SNAPSHOT 2.基于logback、log4j的MDC机制 3.日志配置中添加traceId引用,如下: ...
Spring-Boot-admin之HttpTrace显示入参和出参及增加Redisson监控
Try的博客
10-20 3014
spring-boot-admin(以下简称SBA)与Spring Boot、Spring cloud项目以starter得方式自动集成,包括Server端和Client端 SBA监控包括应用的基本信息、logfile(在线实时浏览或者download)、JVM信息(线程信息、堆信息、非堆信息)、Web(API接口信息、最近100次API调用的信息)、应用中用户登录信息;监控指标很全面,但针对...
Springboot starter开发之traceId请求日志链路追踪
隐风的博客
10-04 5182
一、请求链路追踪是什么? 能标识一次请求的完整流程,包括日志打印、响应标识等,以便于出现问题可以快速定位并解决问题。
[CVE-2003-1567]主机支持TRACE漏洞,禁用方法
weixin_34402090的博客
05-27 2905
2019独角兽企业重金招聘Python工程师标准>>> ...
Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响
wangxi06的专栏
02-08 1333
01事件背景 6月25日, Apache 官方安全团队通过邮件公开报告了一个高危漏洞,邮件中介绍了 HTTP/2 拒绝服务漏洞的细节及解决方案。如下图所示: 漏洞详情链接: http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3E 翻译 漏洞名称:Apache Tomcat HTTP/2 拒绝服务漏洞 漏洞编..
centos中远端WWW服务支持TRACE请求漏洞解决
wushi0101的专栏
01-29 4536
暂未进行验证 第一个验证版本(未验证)(出处https://blog.csdn.net/wbryfl/article/details/79203315) linux具体操作如下: 找到服务器配置文件   /etc/httpd/conf/httpd.conf   在文件最后一行加上 TraceEnable off   如果不行的话在 vhost.conf 也加上以上的指令,重启apache   /...
springboot如何关闭TRACE方法
06-09
server.servlet.context-parameters.override TRACE=false ``` 2. 在 `application.yml` 文件中添加以下配置: ``` server: servlet: context-path: / context-parameters: override TRACE: false ``` 这样...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值