如何禁用 HTTP TRACE/TRACK

最新推荐文章于 2024-02-21 14:40:49 发布
最新推荐文章于 2024-02-21 14:40:49 发布
阅读量8.2k 收藏 15
点赞数 7
分类专栏: Java 基础 文章标签: http java tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hawinlolo/article/details/127776465
版权

HTTP TRACE/TRACK 漏洞问题

最近项目被安全稽核,发现有如下问题:

【问题】远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。

1、发现问题

模拟确认: 指令 curl -v -X TRACE localhost:port

# 到服务器上面输入下面的命令
[root@dlp logs]$ curl -v -X TRACE localhost:8089
* About to connect() to localhost port 8089 (#0)
*   Trying ::1...
* Connected to localhost (::1) port 8089 (#0)
> TRACE / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: localhost:8089
> Accept: */*
> 
< HTTP/1.1 200 OK
< Connection: keep-alive
< Content-Type: message/http; charset=UTF-8
< Content-Length: 78
< Date: Wed, 09 Nov 2022 11:49:34 GMT
< 
TRACE / HTTP/1.1
Accept: */*
User-Agent: curl/7.29.0
Host: localhost:8089
* Connection #0 to host localhost left intact

响应返回 200 ,即代表存在高危漏洞!

如果回显为,如下所示,则该漏洞不存在。

< HTTP/1.1 403 Forbidden
< Content-Type: text/html; charset=iso-8859-1
或者回显为
< HTTP/1.1 405 Method Not Allowed
< Content-Type: text/html; charset=iso-8859-1

显然,我们服务 8089 应该存在高危漏洞。

2、解决问题

如何解决?

由于我们应用是 spring-boot 内嵌 undertow 服务器, 那么就需要添加配置项,直接附上代码:

package com.example.demo.autoconfigure;

import io.undertow.server.HandlerWrapper;
import io.undertow.server.HttpHandler;
import io.undertow.server.handlers.DisallowedMethodsHandler;
import io.undertow.util.HttpString;
import org.springframework.boot.web.embedded.undertow.UndertowServletWebServerFactory;
import org.springframework.boot.web.server.WebServerFactoryCustomizer;
import org.springframework.context.annotation.Configuration;


@Configuration
public class UndertowWebServerCustomizerConfig implements WebServerFactoryCustomizer<UndertowServletWebServerFactory> {

    @Override
    public void customize(UndertowServletWebServerFactory factory) {
        factory.addDeploymentInfoCustomizers(deploymentInfo -> {
            deploymentInfo.addInitialHandlerChainWrapper(new HandlerWrapper() {
                @Override
                public HttpHandler wrap(HttpHandler handler) {
                    HttpString[] disallowedHttpMethods = {HttpString.tryFromString("TRACE"),
                            HttpString.tryFromString("TRACK")};
                    return new DisallowedMethodsHandler(handler, disallowedHttpMethods);
                }
            });
        });
    }
}

写好配置类之后:

  • 在resources/META-INF/spring.factories中设置自动配置类。
org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
com.example.demo.autoconfigure.UndertowWebServerCustomizerConfig
  • 也可以注解方式,启动app类扫码该包路径即可;

3、拓展

3.1、对于spring boot内嵌tomcat:

配置TomcatConfig.java

 1 import org.apache.catalina.Context;
 2 import org.apache.tomcat.util.descriptor.web.SecurityCollection;
 3 import org.apache.tomcat.util.descriptor.web.SecurityConstraint;
 4 import org.springframework.boot.context.embedded.EmbeddedServletContainerFactory;
 5 import org.springframework.boot.context.embedded.tomcat.TomcatContextCustomizer;
 6 import org.springframework.boot.context.embedded.tomcat.TomcatEmbeddedServletContainerFactory;
 7 import org.springframework.context.annotation.Bean;
 8 import org.springframework.context.annotation.Configuration;
 9 
10 @Configuration
11 public class TomcatConfig {
12     
13     @Bean
14     public EmbeddedServletContainerFactory servletContainer() {
15         TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();
16         tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){
17             @Override
18             public void customize(Context context) {
19                 SecurityConstraint securityConstraint  = new SecurityConstraint();
20                 securityConstraint.setUserConstraint("CONFIDENTIAL");  
21                 SecurityCollection collection = new SecurityCollection();
22                 
23                 collection.addPattern("/*");  
24                 collection.addMethod("HEAD");  
25                 collection.addMethod("PUT");  
26                 collection.addMethod("DELETE");  
27                 collection.addMethod("OPTIONS");  
28                 collection.addMethod("TRACE");  
29                 collection.addMethod("COPY");  
30                 collection.addMethod("SEARCH");  
31                 collection.addMethod("PROPFIND");  
32                 securityConstraint .addCollection(collection);  
33                 context.addConstraint(securityConstraint );  
34             }
35         });
36         
37         //禁用TRACE请求
38         tomcatServletContainerFactory.addConnectorCustomizers(connector -> {
39             connector.setAllowTrace(true);
40         });
41         return tomcatServletContainerFactory;
42     }
43 }

引入方式同上!

3.2、 对于非内嵌式Jetty:

在jetty.xml中增加配置:

1 <security-constraint>
2     <web-resource-collection>
3         <web-resource-name>NoTrace</web-resource-name>
4         <url-pattern>/*</url-pattern>
5         <http-method>TRACE</http-method>
6     </web-resource-collection>
7     <auth-constraint></auth-constraint>
8 </security-constraint>

3.3、对于非内嵌tomcat:

直接修改tomcat根目录conf目录下的web.xml,
在文件末尾(之前)添加如下代码:

<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
注:在tomcat的在server.xml中先允许TRACE请求,再在web.xml中禁用TRACE,以此禁用TRACE请求.
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" allowTrace="true"
               redirectPort="8443" />

3.4、对于apache:

对于2.0.55以上版本的apache服务器,
在httpd.conf尾部添加如下指令后重启apache即可:
TraceEnable off

红月修罗
关注
  • 7
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx服务器限制访问速度的配置方法
01-10
用Nginx建站的同学,常会有限速需求。开发测试阶段在本地限速模拟公网的环境,方便调试。投入运营会有限制附件下限速度... http{ …… limit_zone one $binary_remote_addr 10m; …… server { location / {
服务器禁用TRACETRACK方法
热门推荐
qq_38293154的博客
05-08 1万+
http://wenku.baidu.com/view/557d761ea8114431b90dd873.html http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)...
springboot禁用内置Tomcat的不安全请求方法
菜狗小仪的博客
11-15 1969
原由:安全组针对接口测试提出的要求,须要关闭不安全的请求方法,例如put、delete等方法,防止服务端资源被恶意篡改。 用过springMvc都知道能够使用@PostMapping、@GetMapping等这种注解限定单个接口方法类型,或者是在@RequestMapping中指定method属性。这种方式比较麻烦,那么有没有比较通用的方法,经过查阅相关资料,答案是确定的。html tomcat传统形式经过配置web.xml达到禁止不安全的http方法 <security-constraint>
springboot使用undertow服务器禁用TRACE请求
最新发布
qq_16171201的博客
02-21 491
springboot使用undertow服务器禁用TRACE请求
Spring Boot异常处理静止trace
08-25
主要介绍了Spring Boot异常处理静止trace,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot禁止不安全请求
weixin_45333124的博客
03-22 4126
一、项目场景: 在项目测试阶段,tomcat需要禁止一些不安全的请求,比如PUT、TRACE、OPTIONS等,这里自定义springboot中的tomcat配置类,实现禁用。 二、 解决方法: 2.1、 外置的tomcat可以直接修改config.xml文件。 2.2、1.X版本的springboot @Configuration public class TomcatConfig { @Bean public EmbeddedServletContainerFactory servlet
HTTP TRACE
04-17 5521
http://www.guanwei.org/post/applicationsecurity/11/HTTP-TRACE.html 原文地址
HTTP请求常用方法
伟迷不正的博客
12-10 1549
HTTP请求常用方法:
SpringBoot禁用TRACE请求
qq_41814311的博客
08-09 1907
最近项目在做安全漏洞扫描,结果报告中有关于 远端WWW服务支持TRACE请求漏洞。
IIS 部署的应用禁用HTTP TRACE / TRACK方法【原理扫描】
tone1128的博客
07-13 3573
远程Web服务器支持TRACE和/或TRACK方法。TRACETRACK是用于调试Web服务器连接的HTTP方法。
http TRACE 跨站攻击漏洞测试与防御修复
weixin_34273046的博客
03-04 2886
http TRACE 跨站攻击漏洞测试与防御修复apache关闭方法可以直接在配置文件http.conf添加TraceEnable off 关闭 有版本要求 好像是2.0以上在httpd.conf下搜索Global 在### Section 1: Global Environment下面加 TraceEnable off保存OK如何测试呢.这样在cmd下...
【CVE-2003-1567】springboot2,禁用TRACETRACK方法
xshnj的博客
07-06 1174
最近线上爆出CVE-2003-1567漏洞,经过一番查找,发现大多数介绍的都是springboot1如何禁用TRACETRACK方法,最后自己折腾出来了,分享一下吧`
http-tracker
05-31
HTTP-跟踪器什么是 HTTP 跟踪器? HTTP-TRACKER是一个浏览器扩展,可跟踪浏览器上的网络(chrome和firefox)。 在浏览器的网络选项卡上捕获到的内容,此扩展程序可以完成相同甚至更多的操作。 这提供了一个集中窗口...
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACETRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人...
如何关闭http Methods中的Trace 提高安全意识
01-20
TRACETRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的...
J-TRACE/ETM
09-07
STM32 IAR环境下使用J-TRACE进行调试跟踪。指令跟踪,需要通过可选的嵌入式跟踪宏单元(ETM),本文描述了ETM 使用方法,并提供了源码。
验证禁用不全的http方法.txt
07-17
使用 curl -v -X TRACE http://baidu.com 测试 TRACE的 (http://baidu.cpm 这个是你自己的项目访问路径) 成功的信息如下: 不会在出现 Allow:POST、GET、DELETE、OPTIONS、PUT、HEA
httptrace-开源
04-22
httptrace-TCP / HTTP跟踪实用程序(用于Java或Win32 / jview.exe)在TCP / IP端口上侦听,将数据重定向到另一个端口并写入跟踪。 几个选项(搜索模式,...)。
go-httptrace
05-07
go-httptrace
trace/breakpoint trap
03-16
"trace/breakpoint trap" 是一个计算机错误,通常发生在执行调试器指令时。它意味着调试器尝试在程序中设置断点或跟踪代码执行时,发现一个无效的指令或操作码,导致程序停止运行并抛出此错误。在Linux和Unix操作系统中,这个错误通常会以 "trap 5" 的形式显示。 可能的原因包括:使用无效的指令或操作码、在非法内存地址上设置断点或跟踪程序执行、或者其他一些与程序或调试器相关的问题。解决此错误的最常见方法是检查调试器和程序代码,确保没有错误或无效操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值