apache 关闭TRACE请求,禁止跨站攻击(XSS攻击)

最新推荐文章于 2024-06-25 13:39:50 发布
最新推荐文章于 2024-06-25 13:39:50 发布
阅读量346 收藏
点赞数 7
分类专栏: apache 文章标签: apache xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25096749/article/details/139538737
版权

1、什么事XSS攻击

XST攻击即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,
输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、
利用用户身份进行某种动作或者对访问者进行**聊天室病毒侵害的一种攻击方式。

注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理

2、apache禁止trace或track防止xss攻击

(1) 如果配置了虚拟主机先在虚拟主机中添加如下内容:
# vi /etc/http/httpd/vhosts/img1.conf
<VirtualHost *:80>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
        DocumentRoot /alidata/www/www.playyx.com/uploads
        ServerName img1.yingyou360.cn
        #ServerAlias img.yingyou360.cn
        <Directory "/alidata/www/www.playyx.com/uploads">
            Options  FollowSymLinks
            AllowOverride all
           Require all granted
        </Directory>
</VirtualHost>

(2) 在主配置文件最后添加如下内容,并重启apache
# vi httpd.conf
TraceEnable off

详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html

会飞的爱迪生
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭ApacheTRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
apache 禁止trace或track防止xss攻击
weixin_34218579的博客
11-12 887
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。禁用trace可以使用rewrite功能来实现RewriteEngine OnRewriteCondi %{REQ...
如何关闭Apache服务器的TRACE请求
热门推荐
andy1219111的专栏
07-05 2万+
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 如何关闭Apac
Apache 禁用远端WWW服务支持TRACE请求
zhg13361的博客
11-24 497
【代码】Apache 禁用远端WWW服务支持TRACE请求
apache 禁止trace或track防止xss***
weixin_34320724的博客
02-07 225
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。***者可以利用此漏洞欺骗合法用户并得到他们的私人信息。禁用trace可以使用rewrite功能来实现RewriteEngine OnRewriteCondi %{REQUEST_METHO...
攻击(XSS+CSRF).docx
01-05
请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
PHP、Apache环境中部署xsslabs(XSS脚本攻击靶场)
01-08
PHP、Apache环境中部署xsslabs(XSS脚本攻击靶场) PHP与Apache环境中部署xsslabs(XSS脚本攻击靶场)是开发者和安全测试人员进行XSS攻击练习的重要环境。xsslabs是一款开源的XSS 漏洞靶场工具,由PHP代码...
XSS与CSRF两种攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
ThinkPHP2.x防范XSS攻击的方法
12-19
本文实例讲述了ThinkPHP2.x防范XSS攻击的方法。分享给大家供大家参考。具体如下: 一直使用ThinkPHP2.x,通过乌云有向提交了ThinkPHP XSS攻击的bug,抽时间看了一下。 原理是通过URL传入script标签,ThinkPHP...
深度分析Apache Druid:定义、对比、使用场景、选型指南及注意事项
weixin_48313678的博客
06-24 505
是一款开源的分布式数据存储和查询系统,专为实时数据摄取、快速查询和高吞吐量设计。Druid结合了数据仓库、时间序列数据库和搜索系统的特点,适用于需要低延迟、高并发查询的场景。Druid的核心功能包括实时数据摄取、OLAP查询、高可用性和水平扩展性。Apache Druid作为一款高性能的分布式数据存储和查询系统,在实时数据分析、交互式分析和时间序列数据处理等场景中表现出色。通过与其他同类型数据库的对比,本文详细分析了Druid的优缺点、使用场景和选型指南,并提供了使用时的注意事项。
什么是yum源?如何对其进行配置?
最新发布
qq_56999608的博客
06-25 720
哈喽,大家好呀!这里是码农后端。今天来聊一聊Linux下的yum源及其配置相关的内容。简单来说,yum源就相当于一个管理软件的工具,可以想象成一个很大的仓库,里面存放着各种我们所需要的软件包及其依赖。一、Linux下软件包的管理1、软件安装方式1)RPM包管理需要单独解决依赖问题。2)YUM包管理需要有网络及YUM仓库的支持,会自动联网下载软件,自动解决依赖3)源码安装安装过程较复杂,但定制性很强...
Apache DolphinScheduler & 亚马逊云科技联合Meetup: 基于云上的最佳实践
Apache DolphinScheduler开源社区
06-21 798
是一个云原生并带有强大可视化界面的大数据工作流调度平台,致力于让调度变得更加容易,已在 3000+家公司的生产环境上稳定运行。身为一款专门针对于大数据平台和大模型的工作调度系统,支持可视化的数据准备和大模型FineTune等功能。同时Apache DolphineScheduler还拥有十分活跃的社区与定期的交流会。亚马逊云科技(Amazon Web Services)是全球云计算的开创者和引领者,自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。
Web服务器与Apache(虚拟主机基于ip、域名和端口号)
EsDeath_99的博客
06-24 760
URI是一个广义的概念,用于标识和命名互联网上的资源,可以是URL、URN或其他形式,URL是URI的一种具体实现形式,用于资源的定位和访问。
DVWA-XSS(Stored)-httponly分析
06-23 621
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。接DVWA的分析,发现其实Impossible的cookie都是设置的httponly=1,samesite=1.这两个参数的意思参考HttpOnly:阻止 JavaScript 通过 Document.cookie 属性访问 cookie。SameSite:控制 cookie 是否随请求一起发送,这样可以在一定程度上防范请求伪造攻击(CSRF)。
Web渗透:XSS-DOM-based XSS
WolvenSec的博客
06-21 1022
DOM-based XSS(基于DOM的脚本攻击)是一种XSS攻击类型,其特点是恶意脚本通过操作文档对象模型(DOM)直接在客户端执行,而无需经过服务器的处理。这种攻击主要利用客户端JavaScript代码中的漏洞,使得攻击者能够在浏览器中注入并执行恶意代码。
Web渗透:XSS-反射型&存储型
WolvenSec的博客
06-20 966
脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,它允许攻击者将恶意脚本注入到网页中,其他用户在浏览这些页面时,可能会执行这些恶意脚本,从而导致各种安全问题,如窃取用户信息、会话劫持等。
5.XSS-反射型(post)利用:获取cookie
愿听风成曲
06-23 204
需要修改以下两个地址,第一个地址是将原界面的样子链接过来,让用户认为是原界面,第二个是将cookie从数据库中提取出来的程序(注意和自己的目录相对应)然后将url:www.pikachu.net/post.html发给用户访问,会直接跳转到post型链接上;将post.html文件,复制到皮卡丘的根路径下或者根下随意路径即可,并编辑文件。文件路径:\pikachu\pkxss\xcookie\post.html。在pkxss平台直接获取用户信息。用户误以为是正常网去访问。基于IP地址配置文件。
XSS脚本攻击对网有哪些危害
weixin_68778384的博客
06-19 594
XSS脚本攻击是一种典型的Web程序漏洞利用攻击攻击者利用Web程序对用户输入检查不足的漏洞,将可执行恶意脚本注入网或Web应用。当用户访问这些被注入恶意脚本的网页时,恶意脚本会在用户的浏览器中执行,从而达到窃取用户个人数据、弹出广告、篡改网页内容等攻击目的。为了防范XSS脚本攻击,网开发者需要采取一系列的安全措施,如对用户输入进行严格的验证和过滤、设置安全的HTTP响应头部、使用安全的编码实践等。同时,定期更新和打补丁也是防止新发现的安全漏洞被利用的重要手段。
简述脚本攻击xss的工作原理
05-10
脚本攻击XSS)是一种常见的网络安全攻击方式,攻击者利用网漏洞,向页面注入恶意脚本,当用户访问该页面时,注入的脚本就会被执行,从而达到攻击的目的。其工作原理如下: 1.攻击者找到一个存在漏洞的网,例如一个表单提交页面。 2.攻击者在表单中提交一段恶意代码,这段代码会被存储在服务器端。 3.当其他用户访问该页面时,服务器会将存储在其中的恶意代码一并传送到用户的浏览器中。 4.浏览器接收到恶意代码后,会将其解析执行,恶意代码就可以在用户的浏览器中执行,从而达到攻击的目的。 攻击者可以利用XSS攻击来窃取用户的敏感信息、劫持用户的会话、篡改网内容等。为了防止XSS攻击,开发人员需要对输入的数据进行过滤和转义,并且在输出数据时也需要进行过滤和转义,以确保用户输入的数据不会被当作代码执行。此外,也可以通过设置HTTP头的X-XSS-Protection属性来防止XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值