springboot使用undertow服务器禁用TRACE请求

已于 2024-02-21 14:45:25 修改
阅读量1.4k 收藏 4
点赞数 9
文章标签: spring boot 服务器 后端
于 2024-02-21 14:40:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16171201/article/details/136211010
版权
文章讲述了作者在工作中遇到服务器上的TRACE漏洞,通过SpringBoot2.0及以上的Undertow配置,实现Web服务器安全定制,防止跨站追踪攻击并保护cookies和验证信任。
摘要由CSDN通过智能技术生成

问题描述:

今日在工作中遇到服务器被扫描出一个漏洞,描述如下:
风险描述:远程 Web 服务器支持 TRACE 和/或 TRACK方法。TRACE和 TRACK 是用于调试 Web 服务器连接的 HTTP 方法。
风险影响:通过一个跨站追踪攻击窃职 cookies 和验证信任

使用框架

springboot + redis +mybatis
web服务使用springboot 内嵌web服务 undertow
配置如下:

        <!-- SpringBoot Web容器 -->
         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
             <exclusions>
                 <exclusion>
                     <artifactId>spring-boot-starter-tomcat</artifactId>
                     <groupId>org.springframework.boot</groupId>
                 </exclusion>
             </exclusions>
        </dependency>
        <!-- web 容器使用 undertow 性能更强 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-undertow</artifactId>
        </dependency>
   <dependency>
        <groupId>io.undertow</groupId>
        <artifactId>undertow-servlet</artifactId>
    </dependency>

在网上找啊找啊,大多是tomcat的,终于找到一个

@Bean
public UndertowEmbeddedServletContainerFactory embeddedServletContainerFactory() {
    UndertowEmbeddedServletContainerFactory factory = new UndertowEmbeddedServletContainerFactory();
    factory.addBuilderCustomizers(new UndertowBuilderCustomizer() {

        @Override
        public void customize(Builder builder) {
            builder.addHttpListener(8080, "0.0.0.0");
        }

    });
    return factory;
}

很遗憾不能用,各种类找不到BUG,接续找,终于找到springboot 2.0之后类名字变更,所以修改如下:

package com.ruoyi.medicine.config;

import io.undertow.servlet.api.DeploymentInfo;
import io.undertow.servlet.api.SecurityConstraint;
import io.undertow.servlet.api.WebResourceCollection;
import org.springframework.boot.web.embedded.undertow.UndertowDeploymentInfoCustomizer;
import org.springframework.boot.web.embedded.undertow.UndertowServletWebServerFactory;
import org.springframework.boot.web.server.WebServerFactory;
import org.springframework.boot.web.server.WebServerFactoryCustomizer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;

/**
 * @author wang'hai'yang
 * @Description:
 * @date 2024/2/2110:46
 */
@Configuration
public class EmbeddedServletContainerCustomizerConfig {

    @Bean
    public WebServerFactoryCustomizer containerCustomizer() {
        return new WebServerFactoryCustomizer() {
            @Override
            public void customize(WebServerFactory factory) {
                if(factory.getClass().isAssignableFrom(UndertowServletWebServerFactory.class)){
                    UndertowServletWebServerFactory underTowContainer = (UndertowServletWebServerFactory) factory;
                    underTowContainer.addDeploymentInfoCustomizers(new ContextSecurityCustomizer());
                }
            }
        };
    }

    private static class ContextSecurityCustomizer implements UndertowDeploymentInfoCustomizer {
        @Override
        public void customize(DeploymentInfo deploymentInfo) {
            SecurityConstraint constraint = new SecurityConstraint();
            WebResourceCollection traceWebresource = new WebResourceCollection();
            traceWebresource.addUrlPattern("/*");
            traceWebresource.addHttpMethod(HttpMethod.TRACE.toString());
            constraint.addWebResourceCollection(traceWebresource);
            deploymentInfo.addSecurityConstraint(constraint);
        }
    }
}

测试方式及结果

在这里插入图片描述
如图所示,代表成功,否则 红框所示地方显示 HTTP/1.1 200 OK

碧竹542
关注
如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK
锐意工作室
09-11 1万+
文章目录如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK前言测试应用是否允许HTTP TRACE禁用Spring Boot内置的Undertow的HTTP TRACE/TRACK参考文档 如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK 前言 因为安全原因,需要禁用Spring Boot内置Web服务器的HTTP TRACE/TRACK方法。 Spring Boot版本:spring-boot:2.2.2.RELEASE 内置Web服
springboot项目解决www的trace漏洞
碎片令人怀念的的博客
08-25 5389
最近公司一直对安全方面抓的较紧,今天需要升级fastjson的漏洞,明天升级组件中引用的jackson漏洞,还有跨域等,这里针对项目中的一个www攻击trace漏洞的解决进行记录下: 1、首先应用部署到linux环境后,检查trace漏洞用如下命令: curl -i -s -k -X $'TRACE' \ -H $'Host: 10.11.10.11:9801' -H $'Pragma: no-cache' -H $'Cache-Control: no-cache' -H $'DNT: 1' .
springboot springcloud gateway 中的 undertow 禁止接收trace请求(修复漏洞)
Java技术干货
04-19 725
修复trace请求漏洞
SpringBoot禁用TRACE请求
qq_41814311的博客
08-09 3085
最近项目在做安全漏洞扫描,结果报告中有关于 远端WWW服务支持TRACE请求漏洞。
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 1万+
远端WWW服务支持TRACE请求
Spring Boot异常处理静止trace
08-25
主要介绍了Spring Boot异常处理静止trace,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
【CVE-2003-1567】springboot2,禁用TRACE和TRACK方法
xshnj的博客
07-06 1577
最近线上爆出CVE-2003-1567漏洞,经过一番查找,发现大多数介绍的都是springboot1如何禁用TRACE和TRACK方法,最后自己折腾出来了,分享一下吧`
springboot禁止不安全请求
weixin_45333124的博客
03-22 4509
一、项目场景: 在项目测试阶段,tomcat需要禁止一些不安全的请求,比如PUT、TRACE、OPTIONS等,这里自定义springboot中的tomcat配置类,实现禁用。 二、 解决方法: 2.1、 外置的tomcat可以直接修改config.xml文件。 2.2、1.X版本的springboot @Configuration public class TomcatConfig { @Bean public EmbeddedServletContainerFactory servlet
Java SpringBoot项目限制PUT、DELETE、TRACE、OPTIONS、PATCH等危险的方法的访问
最新发布
mekings13的博客
05-28 870
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
SpringMVC从配置初始化到HTTP请求全流程解析
IT搬砖工在路上
07-24 663
这里是目录启动SpringBoot中DispatcherServlet的配置请求过程RequestMapping过程HandlerAdapter过程ViewResolver过程扩展点 启动 于SpringMVC来说其实没有启动一说,因为它属于SpringFrameWork的一部分,在Spring启动过程中(ApplicationContext初始化过程)就会同时初始化SpringMVC所需要的组件。 而这里我要说的启动其实是说的SpringMVC的原理,其原理也非常简单,即配置并初始化DispatcherS
翻译《Spring Boot Reference Guide》-第三单元.使用SpringBoot
瑾析编程
04-10 342
第三单元.使用SpringBoot 本节将更详细地介绍如何使用SpringBoot。它覆盖的主题有构建系统,自动配置以及如何运行你的应用。我们也会提供一些SpringBoot的最佳实践。尽管关于SpringBoot没有什么特别之处(它只是另一个你可以使用的库),但是有一些建议,当你遵循了,可以让你的开发更简单一些。 如果你刚开始接触SpringBoot,你应该先阅读入门指南,然后进入这个章节。 1...
SpringBoot2源码学习笔记 续
qq_43836796的博客
06-24 588
SpringBoot2雷神源码讲解学习笔记
如何在Jetty中禁用Trace方法
qq_33479841的博客
11-18 4424
1.概述 在最近一次的服务器漏洞检测中,我们线上的某个服务检测出漏洞:远端www服务支持TRACE请求。由于服务是基于springboot开发,容器选择的是内置的Jetty,所以本文针对的是Jetty容器如何禁止接收HTTP TRACE请求。 2.解决方案 2.1 什么是Trace Trace请求是HTTP请求的一种,可以用来回显服务器收到的请求,主要用于测试或诊断。个人之前基本没关注过这个请求方法,只知道它是HTTP请求的一种。TRACE方法本用于客户端测试到服务器的网络通路,通过允许客户端知道请求链另
工具研究:(二)Nginx及spring boot禁用OPTIONS TRACE不安全方法
热水钟博客
01-11 1万+
一、背景 为了满足360安全检测的要求,由于系统要在政府网的云服务器上运行,360与政府均有合作,上线前必须获得360的安全认证,方可上线。 二、360安全要求,尽量用get和post的api的应用,禁用OPTIONS ,即对put,delete,tract等最不要使用,他们认为不安全。 三、nginx中的配置: server { listen ...
禁止远端WWW服务支持TRACE请求
热门推荐
AXW2013的专栏
03-18 1万+
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决办法:管理员应禁用WWW服...
tomcat 禁用trace,put,head,post,delete 请求方式
samz5906的专栏
04-10 1万+
背景  项目中请求方式只有GET,POST请求,处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式。实现 在tomcat的web.xml配置文件最后加上请求方式限制,配置如下,本次使用的tomcat8&lt;security-constraint&gt; &lt;web-resource-collection&gt; ...
Undertow服务器禁用不安全的请求类型
cold_Blooder的博客
06-22 661
Undertow服务器禁用不安全的请求类型
Apache 禁用远端WWW服务支持TRACE请求
zhg13361的博客
11-24 649
【代码】Apache 禁用远端WWW服务支持TRACE请求
Springboot解决不安全的请求
01-05 770
禁止使用GET、POST以外的HTTP方法,如PUT、DELETE、TRACE等。修改 Springboot 内置 Tomcat 的配置。项目启动可以看到 其他方法已被封禁。
spring boo内嵌Undertow如何禁用trace请求
04-05
禁用Spring Boot内嵌的Undertowtrace请求,可以在应用程序的配置文件中添加以下属性: ``` management.endpoints.web.exposure.include=* management.endpoint.health.show-details=never management.trace.http.enabled=false ``` 此配置将禁用所有管理端点和健康端点的详细信息显示,并禁用跟踪HTTP请求
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值