启用了危险的Method

最新推荐文章于 2024-06-22 22:41:54 发布
最新推荐文章于 2024-06-22 22:41:54 发布
阅读量3.4k 收藏
点赞数 1
分类专栏: iis 文章标签: iis urlsacn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24313643/article/details/82457285
版权

漏洞名称:
启用了危险的Method
描述:
目标WEB服务器启用了TRACE Method。
1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。
2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本(简称XSS)攻击,这种攻击方式又称为跨站跟踪攻击(简称XST)。
危害:

  1. 恶意攻击者可以通过TRACE Method返回的信息了解到网站前端的一些信息,如缓存服务器等,从而为下一步的攻击提供便利。
    2.恶意攻击者可以通过TRACE Method进行XSS攻击
    3.即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息,那么通过TRACE Method恶意攻击者还是可以绕过这个限制读取到cookie信息。
    解决方案:
    1、IIS上可以使用URLScan来禁用Trace Method,在urlscan.ini文件中,设置允许的方法中不包括Trace即可。

下载 URLScan https://www.iis.net/downloads/microsoft/urlscan#additionalDownloads

urlscan使用详解
https://blog.csdn.net/qq_25600055/article/details/78188169

曉儂
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Apache服务器关闭TRACE Method请求方式的方法
09-15
Apache服务器的TRACE Method请求方式是HTTP协议中的一种方法,它主要用于调试,允许客户端回显其发送到服务器的请求。然而,由于安全原因,这个功能在许多情况下应当被禁用。这是因为支持TRACE请求的服务器可能存在...
服务器默认开启Trace Method的潜在风险及解决方法
Mr.Bean
09-18 5345
Trace Method 的潜在风险及解决方法 结论 先贴结论,虽然官方声称该功能并无安全问题,然而禁用Trace带来的负面影响微乎其微,同时Appache官方也在1.3.34 和2.0.55加入了TraceEnable Off来简单的关闭该功能。故建议关闭该功能以防潜在风险。 顺带一提如果你的服务器没有用Appache服务器,如jetty的话,你可以搜索jetty Trace Method 来看...
Tomcat--启动了不安全的HTTP方法解决办法
JustinQin
11-18 1万+
一、问题描述 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。 二、解决办法 把他们关闭即可!!! 添加以下节点代码到web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加,也可以在tomcat/conf/web.xml中添加 ...
若依(不分离版)启用危险Method (TRACE)
最新发布
rckliaoming的博客
06-22 137
最近被扫描出来的第二个问题,启用危险Method (TRACE) ,A5 安全配置错误,搜索了一些文章,发现主要是服务器未禁用这些方法的调用,那么我们就从系统出发,再系统层面解决,参考的文章是。我是直接在启动类里面设置的。打印日志即可看出效果。
如何关闭Apache服务器的TRACE请求
andy1219111的专栏
07-05 2万+
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 如何关闭Apac
Weblogic 禁用不安全的http请求
linfanhehe的专栏
11-07 1万+
网上搜了好多禁用http请求的方法,都是介绍tomcat容器下的相关配置,但是把web项目放到weblogic容器下会报错,无论如何也启动不起来,费了一番功夫找到一篇文章,问题解决 初次使用Weblogic,因为之前是在Jboss或tomcat上部署的工程,运行正常,但是在weblogic上安装部署的时候,就出现了一个常见的问题:如下   意思是无法加载web
innodb_flush_method取值方法(实例讲解)
09-09
在实践中,许多人倾向于选择`O_DIRECT`,尤其是在具有RAID卡并启用了write-back写策略的Linux环境中。然而,如前面的例子所示,特定的SQL查询或工作负载可能在不同的`innodb_flush_method`设置下表现出显著的性能...
nginx对http method的控制修改方法
03-10
为了支持PUT和DELETE等HTTP方法,需要在编译Nginx时启用Dav模块。具体做法是在`./configure`命令中加入`--with-http_dav_module`参数。此外,还需要在Nginx的配置文件`nginx.conf`中添加如下配置: ```nginx ...
启用了不安全的http方法漏洞
01-09
<http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> <auth-method>BASIC...
Delphi实现禁用和启用网卡
09-26
本项目涉及的主题是“Delphi实现禁用和启用网卡”,这是一项实用的功能,尤其是在网络管理或系统维护中。以下是这个项目的核心知识点: 1. **Windows API调用**: Delphi本身不直接提供禁用和启用网络适配器的API...
web服务器启用了不安全的HTTP方法(转)
傲慢的上校的专栏
11-17 774
web 安全 不安全的HTTP方法
关于修复“启用了不安全的 HTTP 方法”
weixin_34408624的博客
08-22 769
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx HTTP Post Method: 405 Method not allowed错误
李怀君的专栏
03-09 2949
解决方案,在nginx配置文件中加入一行文字,重启nginx即可:error_page 405 = $uri;示例:location / {        root   /home/users/www/;        index  index.html index.htm;        # Ajoutez simplement ceci :        error_page 405 = $u...
启用了不安全的HTTP方法
u013673367的专栏
08-20 2031
启用了不安全的HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
关于Nginx 配置出现 405 Method Not Allowed 一次血的教训
热门推荐
ws - 兮的博客空间
08-04 5万+
遇到错误 在一次文件(头像)上传中,出现了错误 405 Method Not Allowed (本地和直接 ip服务服务器都没有问题),于是直接把错误的矛头直接指向了 Nginx 我的配置如下,访问域名转发到9049, 在此处配置了 oss 路径,用于访问阿里云的 oss 存储对象文件 百度了一下资料,大致错误的意思就是: httppost请求目标网站会出现405 状态码,原因为 Apache、IIS、Nginx等绝大多数web服务器,都不允许静态文件响应POST请求, 所以将post请求改为get请求
Java部署Tomcat服务,安全风险的修改
挖掘机炒菜的专栏
11-21 479
在Tomcat的web.xml中加载以下内容,重新启动服务即可 <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-cl...
http协议详细总结
fstudio
12-06 1170
研究的是在基于nginx的智能web应用防火墙,它涉及到目前广泛使用的http协议,web服务器和web代理,以及DNS解析。为此,本章首先介绍目前Internet上基于HTTP的通信架构;以及DNS解析流程。 1、基于HTTP的通信架构 超文本传输协议(Hyper Text Transfer Protocol,HTTP )是现代Internet上Web应用的重要部件,超文件传输协议最初是为了
超文本传输协议版本 2
WuOu的专栏
09-17 2671
超文本传输协议版本 2 IETF HTTP2草案(draft-ietf-httpbis-http2-13) 摘要 本规范描述了一种优化的超文本传输协议(HTTP)。HTTP/2通过引进报头字段压缩以及多路复用来更有效利用网络资源、减少感知延迟。另外还介绍了服务器推送规范。 本文档保持对HTTP/1.1的后向兼容,HTTP的现有的语义保持不变。 1 介绍
nodejs14启用tls1.0
06-06
在Node.js v14中,默认情况下TLSv1.0和TLSv1.1已被禁用。如果您需要启用TLSv1.0,可以通过以下方式之一来实现: 1. 在启动应用程序时,使用NODE_OPTIONS环境变量设置以下内容: ``` NODE_OPTIONS=--tls-v1.0 ``` 2. 在应用程序中,使用以下代码来启用TLSv1.0: ``` const https = require('https'); const options = { secureProtocol: 'TLSv1_0_method' }; https.get('https://example.com', options, (res) => { console.log('statusCode:', res.statusCode); console.log('headers:', res.headers); res.on('data', (d) => { process.stdout.write(d); }); }).on('error', (e) => { console.error(e); }); ``` 请注意,启用TLSv1.0存在安全风险,并且不建议在生产环境中使用。建议升级到更安全的TLS版本,例如TLSv1.2或TLSv1.3。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曉儂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值