服务器默认开启Trace Method的潜在风险及解决方法

最新推荐文章于 2024-06-22 22:41:54 发布
最新推荐文章于 2024-06-22 22:41:54 发布
阅读量5.3k 收藏 6
点赞数
分类专栏: 随记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30130355/article/details/82752283
版权

Trace Method 的潜在风险及解决方法

结论

先贴结论,虽然官方声称该功能并无安全问题,然而禁用Trace带来的负面影响微乎其微,同时Appache官方也在1.3.34 和2.0.55加入了TraceEnable Off来简单的关闭该功能。故建议关闭该功能以防潜在风险。

顺带一提如果你的服务器没有用Appache服务器,如jetty的话,你可以搜索jetty Trace Method 来看如何关闭这项服务。

定义

在Appache的官方网站中,给出了Trace Method的介绍

在IBM网站有关于该问题的详细描述

KeyValue
描述定义TRACE请求行为
配置语法TraceEnable [on|off|extended]
默认TraceEnable on
Apache官方定义

该配置指令覆盖核心服务器和Mod Proxy中的TRACE行为。默认开启TraceEnable,此时将允许符合RFC 2616(注:http 1.1协议 RFC 2616)的TRACE请求,同时该请求不允许带有请求体(body)。如果设置为OFF,那么会导致服务器返回405错误。
最后,仅在测试、DEBUG阶段,可以允许设置TraceEnable extended来允许请求体的提交。同时核心服务器会设置请求体大小64KB以下,核心服务器也会返回请求头和响应体。
注:在Appache官方声明中提到,虽然有很多声明声称该项(Trace)是一个漏洞,但Appache认为这不是一个安全漏洞,也没有可行理由去禁止它,同时禁用该功能也会使你的服务器兼容性变差。(虽然如此他们还是把关闭Trace服务改成了只用一句TraceEnable off就可以关闭该服务)

漏洞原理

TRACE方法本用于客户端测试到服务器的网络通路,通过允许客户端知道请求链另一端接收的时什么数据,然后利用那些数据进行测试或诊断。同时对于有效的TRACE请求,相应的响应体会包含整个请求消息,这里除了暴露一些前端的信息(如缓存的cookie等信息)还会暴露对应的后端服务器地址,对恶意用户可能会以此来攻击后端服务器。

关闭方法

在/etc/httpd/conf/httpd.conf文件中进行修改,分两种情况
对于Appache服务器且版本在2.0.55以上的,只需要在最后配置

TraceEnable off

若其他版本,则需要确保rewrite模块激活

LoadModule rewrite_module modules/mod_rewrite.so

然后对于虚拟主机用户需要在.htacess文件中加入如下代码:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

Mr.Bean
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭Apache的TRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
Tomcat--启动了不安全的HTTP方法解决办法
JustinQin
11-18 1万+
一、问题描述 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。 二、解决办法 把他们关闭即可!!! 添加以下节点代码到web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加,也可以在tomcat/conf/web.xml中添加 ...
apache 关闭TRACE请求,禁止跨站攻击(XSS攻击)
qq_25096749的博客
06-08 475
详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html。注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理。2、apache禁止trace或track防止xss攻击。1、什么事XSS攻击。
启用危险Method
曉儂
09-06 3442
漏洞名称: 启用危险Method 描述: 目标WEB服务器启用TRACE Method。 1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本(简称XSS)攻击,这种攻击方式又称为跨站跟踪攻击(简称XST)。 危害: 1. 恶意...
如何关闭Apache服务器TRACE请求
热门推荐
andy1219111的专栏
07-05 2万+
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 如何关闭Apac
深入探讨TRACE请求:解析、用途和安全性分析
博客
08-08 4553
TRACE请求是一种用于回显服务器收到的请求的HTTP方法。当客户端发送TRACE请求时,服务器将原始请求报文作为响应返回给客户端,用于检查或调试请求的传输过程。调试:通过回显请求报文,开发人员可以查看请求在传输过程中是否被修改,以及服务器对请求的处理过程。诊断:TRACE请求可以用于诊断网络问题,例如检查请求是否被正确地转发到目标服务器。测试:开发人员可以利用TRACE请求测试API的可用性和正确性。TRACE请求作为一种特殊的HTTP请求方法,在Web开发中具有重要的作用。
若依(不分离版)启用危险Method (TRACE)
最新发布
rckliaoming的博客
06-22 141
最近被扫描出来的第二个问题,启用危险Method (TRACE) ,A5 安全配置错误,搜索了一些文章,发现主要是服务器未禁用这些方法的调用,那么我们就从系统出发,再系统层面解决,参考的文章是。我是直接在启动类里面设置的。打印日志即可看出效果。
Weblogic 禁用不安全的http请求
linfanhehe的专栏
11-07 1万+
网上搜了好多禁用http请求的方法,都是介绍tomcat容器下的相关配置,但是把web项目放到weblogic容器下会报错,无论如何也启动不起来,费了一番功夫找到一篇文章,问题解决 初次使用Weblogic,因为之前是在Jboss或tomcat上部署的工程,运行正常,但是在weblogic上安装部署的时候,就出现了一个常见的问题:如下   意思是无法加载web
TIA博途中的TRACE功能具体使用方法示例.docx
11-19
本文将详细介绍TIA博途中的TRACE功能,这是一种强大的诊断工具,可以帮助用户实时监控PLC程序的运行状态,定位并解决潜在问题。 TRACE功能的主要目的是通过图形化的方式展示程序执行过程中的数据变化,从而帮助...
Method_Trace.trace
06-22
【Android 性能优化】应用启动优化 ( 方法追踪代码模板 | 示例项目 | SD 卡访问权限 | 示例代码 | 获取 Trace 文件 | Android Studio 查看文件) : https://blog.csdn.net/shulianghan/article/details/106893572 ; ...
node.js中的console.trace方法使用说明
10-25
在Node.js中,console.trace() 是一个非常有用的内置方法,它用于向标准错误流(stderr)输出当前的调用栈跟踪信息。这个功能对于开发者来说,尤其在进行调试时,非常方便,因为它可以准确地显示出程序执行到 trace...
web服务器启用了不安全的HTTP方法(转)
傲慢的上校的专栏
11-17 780
web 安全安全的HTTP方法
HTTP TRACE / TRACK Methods Allowed 问题修复
qq_37716298的博客
04-26 2269
HTTP TRACE / TRACK Methods Allowed问题修复 import org.apache.catalina.Context; import org.apache.tomcat.util.descriptor.web.SecurityCollection; import org.apache.tomcat.util.descriptor.web.SecurityConstraint; import org.springframework.boot.SpringApplication;
使用Arthas排查性能问题
Keep learing, and stay fast
11-28 2566
记使用Arthas排查性能问题
【转载】TRACE请求引起的反射型XSS漏洞
SunnyCat
06-18 815
原文链接:https://www.cnblogs.com/gaopei/p/11380349.html TRACE请求引起的反射型XSS漏洞 HTTP定义了一组请求方法,以表明要对给定资源执行的操作。指示针对给定资源要执行的期望动作。 虽然他们也可以是名词, 但这些请求方法有时被称为HTTP动词. 每一个请求方法都实现了不同的语义。其中,TRACE方法沿着到目标资源的路径执行一个消息环回测试。 关于TRACE方法 客户端发起一个请求时,这个请求可能要穿过防火墙、代理、网关或其他一些应用程序。每个中间节点都可
arthas 抓不到懒加载吗?
大吉的博客
08-24 887
今天使用 arthas 监控线上问题时,遇到一种情况,无论如何也无法监控到该方法。于是我怀疑是否是懒加载导致的该问题,这个类没被调用,没被载入。先把问题记录于此,抽空验证下,或者有大神在评论区帮我解释下,不胜感激。但是我调用了一次该方法,然后再次执行,就能抓到了。明显是找不到该方法
Apache-Trace method服务问题
DellsWeiner的博客
11-15 3218
目标web服务器启用trace method trace method是http协议定义的一种协议调试方法,该方法会是服务器原样返回任意客户端请求的内容,可用来进行跨站脚本xss的攻击,又称跨站跟踪攻击xst 危害:可以通过trace method返回的信息了解到网站前端的信息,即使网站对关键页面做了httponly头标记和禁止脚本读取cookie信息,trace method还是可以绕过这个限制读到cookie 如何禁用 在Apache配置文件httpd-conf中【VirtualHost】各虚
HTTP Methods 测试
吕小小布的博客
09-27 1160
翻译 摘要 HTTP提供了许多方法,可用于在Web服务器上执行操作。这些方法中的许多方法旨在帮助开发人员部署和测试HTTP应用程序。如果Web服务器配置错误,则这些HTTP方法可用于恶意目的。此外,还检查了跨站点跟踪(XST)(一种使用服务器的HTTP TRACE方法的跨站点脚本编写形式)。 尽管GET和POST是迄今为止用于访问Web服务器提供的信息的最常用方法,但是超文本传输​​协议(H...
关于修复“启用了不安全的 HTTP 方法
weixin_34408624的博客
08-22 769
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值