WEB安全防御总结二 : 不安全方法( Trace/Track/Options/...)

最新推荐文章于 2023-04-11 09:09:43 发布
最新推荐文章于 2023-04-11 09:09:43 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: 安全防御 文章标签: WEB安全防御 Trace/Track/Options
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiongxian1/article/details/100634198
版权

漏洞简介:

攻击者可以使用OPTIONS和Trace方法来枚举服务器相关信息。

修复建议:

1.在服务器配置中禁止非常用的HTTP方法

2.代码中只支持常见HTTP方法。

处理方式:

禁止 Trace|Track|OPTIONS等方法。

 

作者做了几个地方的修改,现在一个一个列出来:

1. 修改.htaccess文件

在文件中添加代码如下:

<IfModule mod_rewrite.c>
	RewriteEngine on
	RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
	RewriteRule .* - [F]
</IfModule>

2.修改虚拟机的配置文件

如下图,在虚拟机的Directory内添加 Rewrite 这个部分的代码

<VirtualHost *:81>
    DocumentRoot ../htdocs
    ServerName default:81
    ErrorLog logs/default-error_log
	
	<Directory "../htdocs">
		Options FollowSymLinks MultiViews
		AllowOverride ALL
		Order allow,deny 
		allow from all
		
		RewriteEngine on
		RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
		RewriteRule .* - [F]
    </Directory>
</VirtualHost>

3. 修改httpd.conf文件

在文件尾部添加如下指令

TraceEnable off

然后就可以了。具体是哪一步发挥的作用还不知道。。

追逐吾之所求
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apache的AllowOverride以及Options使用详解
01-10
AllowOverride参数就是指明Apache服务器是否去找.htacess文件作为配置文件,如果设置为none,那么服务器将忽略.htacess文件,如果设置为All,那么所有在.htaccess文件里有的指令都将被重写。对于AllowOverride,还可以对它指定如下一些能被重写的指令类型. 通常利用Apache的rewrite模块对 URL 进行重写的时候, rewrite规则会写在 .htaccess 文件里。但要使 apache 能够正常的读取.htaccess 文件的内容,就必须对.htaccess 所在目录进行配置。从安全性考虑,根目录的AllowOverride属性一般都
小记一次网站应用漏洞扫描--启动了不安全的HTTP方法(Insecure HTTP Method)及其解决方案
小菜鸟的HelloWorld
01-05 2701
漏洞编号:c*********031834878bbfe891144574 漏洞等级:中危 漏洞状态:未修复 发现时间 : 2018/01/04 21:00:43 GMT+08:00 漏洞类型:不安全方法 所属域名:*******.cn URL:http://*********** 漏洞简介 攻击者可以使用OPTIONSTrace方法来枚举服务
禁用Apache的OptionsTrace方法
netuser1937的博客
12-19 1万+
禁用Apache的OptionsTrace方法
通过OPTIONS探测服务器信息
m0_49025459的博客
02-06 1679
HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。客户端可以对特定的 URL 使用 OPTIONS 方法,也可以对整站(通过将 URL 设置为“*”)使用该方法options 请求就是预检请求,可用于检测服务器允许的 http 方法。当发起跨域请求时,由于安全原因,触发一定条件时浏览器会在正式请求之前自动先发起 OPTIONS 请求,即 CORS 预检请求,服务器若接受该跨域请求,浏览器才继续发起正式请求。
如何禁止不必要的 HTTP 方法,如DELETE,PUT,OPTIONS等协议访问应用程序
热门推荐
BabyFace゛‐尐蔡。的博客
02-01 1万+
一、修改应用程序的server.xml文件的协议为HTTPS,       disableUploadTimeout="true" enableLookups="false" maxThreads="25"      keystoreFile="d:\tomcat.keystore" keystorePass="111111"     protocol="org.apache.coyote
trace.moe:通过图像搜索动漫场景
02-24
痕迹 动漫场景搜索引擎 追溯获取动画截图的场景。 它告诉您该场景是哪个动画,哪个情节以及确切的...与trace.moe集成的最简单方法是通过查询字符串。 无需API。 您可以像这样在查询字符串中传递图片网址 https://tr
Web应用安全:HTTP方法.pptx
06-17
HTTP1.1新增了五种请求方法OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法 1、HTTP请求的方法 HTTP方法 1、HTTP请求的方法 HTTP方法 2、GET和POST比较 GET POST 点击返回/刷新按钮 没有影响 数据会重新提交 缓存/...
java.net.SocketException: Connection reset 解决方法
09-05
这个任务负责在一个循环中频繁地执行一个方法,该方法尝试从远程服务器获取数据。当返回值达到特定临界值时,定时器会在10秒内持续调用该方法,导致短时间内创建大量Socket连接。 由于每个方法执行需要大约80毫秒,...
trace.moe-media:用于为 trace.moe 提供视频预览的媒体服务器
07-23
trace.moe-媒体用于为 trace.moe 提供视频预览的媒体服务器该服务器使用“视频场景切割器”,它会自动检测镜头的时间戳边界,然后修剪镜头,而不会泄漏/暴露属于上一个/下一个场景的其他帧。 目前,它被网站和它的 ...
node.js中的console.trace方法使用说明
10-25
主要介绍了node.js中的console.trace方法使用说明,本文介绍了console.trace方法说明、语法、接收参数、使用实例和实现源码,需要的朋友可以参考下
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 9159
远端WWW服务支持TRACE请求
启用 HTTP TRACE 方法
走马观花
04-11 1万+
http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/zh_CN/HTML/am51_webseal_guide32.htm RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(loopback)。请求的接收方是源服务器或第一个代理或接收请求中零(0)Max-Forwards
远程WWW服务支持TRACE请求(tomcat漏洞修复及测试方案)
weixin_42740540的博客
06-10 5375
近期主机安全扫描除了安全漏洞,如图 看到该问题的第一思路,找到具体端口号对应的应用。主机配置httpd服务信息。最终发现主机上并未开启httpd服务。应用是基于tomcat发布的,并且为springboot的内嵌tomcat。意思就是说跟主机侧无关,需要调整应用侧代码。于是百度 tomcat传统形式通过配置web.xml达到禁止不安全的http方法 <security-constraint> <web-resource-collection...
如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK
锐意工作室
09-11 1万+
文章目录如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK前言测试应用是否允许HTTP TRACE禁用Spring Boot内置的Undertow的HTTP TRACE/TRACK参考文档 如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK 前言 因为安全原因,需要禁用Spring Boot内置Web服务器的HTTP TRACE/TRACK方法。 Spring Boot版本:spring-boot:2.2.2.RELEASE 内置Web
HTTP TRACE / TRACK Methods Allowed 问题修复
qq_37716298的博客
04-26 2155
HTTP TRACE / TRACK Methods Allowed问题修复 import org.apache.catalina.Context; import org.apache.tomcat.util.descriptor.web.SecurityCollection; import org.apache.tomcat.util.descriptor.web.SecurityConstraint; import org.springframework.boot.SpringApplication;
文件解析漏洞汇总
一生无悔惜缘的博客
08-03 1460
解析漏洞正如其名,一般大家常说的是,文件在某种格式下,会被执行为该脚本语言的文件。 文件上传漏洞通常与Web容器的解析漏洞配合利用 常见Web容器有IIS、Nginx、Apache、Tomcat等 好了正文开始汇总了,反正都转载贴的,我自己也忘了在哪里看到的了,就不注明转贴地址了。 IIS 6.0解析漏洞 目录解析:/xx.asp/xx.jpg xx.jpg可替换
Apache如何禁用http方法
Lucifer_QMY的博客
04-11 1223
在 Apache 中禁用 HTTP 方法可以通过修改 Apache 配置文件(如 httpd.conf)或虚拟主机配置文件(如 httpd-vhosts.conf)来实现。
通过options探测服务器信息,OPTIONS 方法在跨域请求(CORS)中的应用
weixin_39872624的博客
08-10 2269
OPTIONS 方法比较少见,该方法用于请求服务器告知其支持哪些其他的功能和方法。通过 OPTIONS 方法,可以询问服务器具体支持哪些方法,或者服务器会使用什么样的方法来处理一些特殊资源。可以说这是一个探测性的方法,客户端通过该方法可以在不访问服务器上实际资源的情况下就知道处理该资源的最优方式。既然比较少见,什么情况下会使用这个方法呢?采用Ajax跨域调用接口的时候,浏览器会自动发起一个 OPT...
apache 禁止tracetrack防止xss攻击
weixin_34218579的博客
11-12 887
TRACETRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。禁用trace可以使用rewrite功能来实现RewriteEngine OnRewriteCondi %{REQ...
java.lang.NoClassDefFoundError: Failed resolution of: Landroidx/tracing/Trace;
最新发布
05-31
这个错误通常是因为您的应用程序使用了要求API级别29及以上的Tracing库,但是您的应用程序的目标API级别低于29。 您可以尝试以下步骤解决此问题: 1. 将您的应用程序的目标API级别升级到29或更高版本。 2. 如果您不想升级API级别,可以尝试在您的应用程序的build.gradle文件中添加以下行: ``` android { defaultConfig { ... multiDexEnabled true } ... } ``` 并在您的应用程序的dependencies中添加以下行: ``` dependencies { implementation 'androidx.multidex:multidex:2.0.1' } ``` 然后,在您的应用程序的Application类中,覆盖attachBaseContext方法,并添加以下行: ``` @Override protected void attachBaseContext(Context base) { super.attachBaseContext(base); MultiDex.install(this); } ``` 这将启用多Dex支持,以便您的应用程序可以正确加载Tracing库。 希望这可以帮助您解决问题!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值