HTTP TRACE / TRACK Methods Allowed 问题修复

最新推荐文章于 2024-05-13 12:15:15 发布
最新推荐文章于 2024-05-13 12:15:15 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: 工作中遇到的问题 文章标签: tomcat mybatis spring boot spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37716298/article/details/116170586
版权
该博客介绍了一种修复HTTP TRACE和TRACK方法允许问题的方法。通过在Spring Boot应用中配置TomcatEmbeddedServletContainerFactory,创建一个安全约束并限制特定HTTP方法,包括TRACE。然后,通过设置`connector.setAllowTrace(false)`来禁用TRACE请求,从而提高应用程序的安全性。
摘要由CSDN通过智能技术生成

HTTP TRACE / TRACK Methods Allowed问题修复

import org.apache.catalina.Context;
import org.apache.tomcat.util.descriptor.web.SecurityCollection;
import org.apache.tomcat.util.descriptor.web.SecurityConstraint;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.context.embedded.EmbeddedServletContainerFactory;
import org.springframework.boot.context.embedded.tomcat.TomcatEmbeddedServletContainerFactory;
import org.springframework.context.annotation.Bean;

/**
 * @author :dzp
 * @date :Created in 2021/4/26 20:09
 * @description:
 */
@SpringBootApplication
public class DemoApplication{
    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }
    //主要是以下代码:
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {// 1
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addMethod("HEAD");
                collection.addMethod("PUT");
                collection.addMethod("DELETE");
                collection.addMethod("OPTIONS");
                collection.addMethod("TRACE");
                collection.addMethod("COPY");
                collection.addMethod("SEARCH");
                collection.addMethod("PROPFIND");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        //如果需要禁用TRACE请求,需添加以下代码:
        tomcat.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return tomcat;
    }
}
一枚开发小咸鱼
关注
专栏目录
(第75天)AutoUpgrade 升级:11GR2 到 19C
LuciferLiu_DBA
03-24 411
Oracle 从 12CR2 开始就开始大力推广 AutoUpgrade 升级工具,但是实际生产中使用并不广泛,但是这个工具已经发展的非常成熟了。本文介绍一下如何使用 AutoUpgrade 工具进行快速升级,操作非常简单。
如何关闭http Methods中的Trace 提高安全意识
01-20
使用Nikto测试服务器,发现HTTP开启了trace方法。 TRACETRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决: 禁用这些方式。 在配置文件http.conf 添加 TraceEnable off 即可关闭。
启用了TRACETRACK HTTP 方法,如何禁用?
热门推荐
RENYUAN
01-30 3万+
http://wenku.baidu.com/view/557d761ea8114431b90dd873.html http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html http://www.myhack58.com/Article/html/3/62/2012/32870.htm  (http TRACE 跨站攻击漏洞测试
http-tracker
05-31
HTTP-跟踪器 什么是 HTTP 跟踪器? HTTP-TRACKER是一个浏览器扩展,可跟踪浏览器上的网络(chrome和firefox)。 在浏览器的网络选项卡上捕获到的内容,此扩展程序可以完成相同甚至更多的操作。 这提供了一个集中窗口,显示整个请求 - 来自浏览器的所有选项卡和窗口的响应。 这还可以跟踪私人/隐身窗口选项卡(如果启用了权限),将所有内容集中到一个中央位置。 特征 使用快捷方式轻松激活/打开扩展 CMD+SHIFT+1 - MAC CTRL+SHIFT+1 - 窗口 将模式设置为仅跟踪包含模式的那些请求,以便插件仅跟踪那些匹配的 url。 使用字段“跟踪网址具有”。 将此字段留空将跟踪所有网址。 此字段采用逗号分隔的模式列表。 如果此字段不为空,则只会跟踪匹配这些模式的网址 设置模式以排除包含这些模式的某些 url 使用字段“跳过具有的网址”。 将此字段留空不会
HTTP TRACE / TRACK Methods Allowed 漏洞修复
a815616653的博客
11-26 5045
httpd.conf添加 TraceEnable off 1
zookeeper 允许HTTP TRACE / TRACK方法 端口8080
m0_37541370的博客
04-29 951
进入zookeeper的bin目录下,在启动脚本zkServer.sh增加参数,查找nohup,在本行增加参数:-Dzookeeper.admin.enableServer=false。风险描述:远程Web服务器支持TRACE和/或TRACK方法。TRACETRACK是用于调试Web服务器连接的HTTP方法。风险影响:通过一个跨站追踪攻击窃取cookies和验证信任。*注:注意空格和双引号。
关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法
暖风
01-05 2798
基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP X-Permitted-Cross-Domain-Policies缺失,会话Cookie中缺少HttpOnly属性,会话Cookie中缺少s
springboot项目解决www的trace漏洞
碎片令人怀念的的博客
08-25 5350
最近公司一直对安全方面抓的较紧,今天需要升级fastjson的漏洞,明天升级组件中引用的jackson漏洞,还有跨域等,这里针对项目中的一个www攻击trace漏洞的解决进行记录下: 1、首先应用部署到linux环境后,检查trace漏洞用如下命令: curl -i -s -k -X $'TRACE' \ -H $'Host: 10.11.10.11:9801' -H $'Pragma: no-cache' -H $'Cache-Control: no-cache' -H $'DNT: 1' .
HTTP学习笔记
jacksonary的博客
09-03 1829
1. HTTP工作原理  HTTP协议(HyperText Transfer Protocol,超文本传输协议),基于TCP/IP通信协议传递数据,属于应用层协议,所有wwww文件都必须遵守这个标准。HTTP协议经历HTTP/0.9(只接受get请求方法)到HTTP/1.0(第一个在通讯中指定版本号的HTTP协议版本,在代理服务器中广泛应用)再到现在的HTTP/1.1(默认采用持久连接,能很好地...
简单好用的HTTP分析的小工具httptrace
06-30
文件中有附使用实例图。 用来做http协议分析的小工具,特别简单,适合我这种懒人。 推荐一把。 使用非常简单,是一个可执行的jar文件, 启动以后设置一个转发端口,然后再把浏览器的代理设置为这个端口就可以了。 1. 启动以后增加一个监听端口,按下图的配置,选择Add就好了。 2. 设置浏览器的代理为 localhost:8000, 访问网站以后就可以做相关分析。 输入输出一目了然,对吧。
Chrome的启动参数
Criss@陈磊
02-23 4754
List of Chromium Command Line Switches Condition Explanation --[1]⊗ Classic, non-material, mode for the |kTopChromeMD| switch.↪ --0⊗ Value of the --profiler-timing flag that will disable timin...
启用 HTTP TRACE 方法
走马观花
04-11 1万+
http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/zh_CN/HTML/am51_webseal_guide32.htm RFC 2616 for HTTP 如下定义 TRACE 方法,“此方法用于调用已请求消息的远程、应用层回送(loopback)。请求的接收方是源服务器或第一个代理或接收请求中零(0)Max-Forwards
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法漏洞修复
LENGTH18的博客
08-27 4206
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
远程WWW服务支持TRACE请求(tomcat漏洞修复及测试方案)
weixin_42740540的博客
06-10 5480
近期主机安全扫描除了安全漏洞,如图 看到该问题的第一思路,找到具体端口号对应的应用。主机配置httpd服务信息。最终发现主机上并未开启httpd服务。应用是基于tomcat发布的,并且为springboot的内嵌tomcat。意思就是说跟主机侧无关,需要调整应用侧代码。于是百度 tomcat传统形式通过配置web.xml达到禁止不安全的http方法 <security-constraint> <web-resource-collection...
解决安全扫描Insecure HTTP Methods Enabled的问题
weixin_33693070的博客
11-19 957
今天把Spring MVC的Java网站部署到CentOS上,并且设置了https/ssl 8443端口,然后用IBM Rational AppScan进行安全扫描,发现一个漏洞:Insecure HTTP Methods Enabled. 原因是Tomcat支持的http命令中包含DELETE、OPTIONS、PUT、HEAD和TRACE这五条命令。    漏洞描述和建议: Ins...
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞(1)
最新发布
2401_84545291的博客
05-13 1339
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
远端WWW服务支持TRACE请求
龙卷风摧毁停车场
02-23 2409
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。
远程WWW服务支持TRACE请求
zhangnana200的博客
09-27 5898
最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务对TRACE请求的支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 远端WWW服务支持TRACE请求。RFC 2616介绍了T
/etc/su.allowed文件该怎么写
04-04
由于您没有提供更多的上下文信息,我们无法确定您所指的“/etc/su.allowed”文件的确切含义。不过,以下是一些可能的答案: 1. 如果您正在寻找如何编写一个允许特定用户使用su命令的“/etc/su.allowed”文件,那么您可以按照以下步骤操作: - 创建一个名为“/etc/su.allowed”的文件。 - 在文件中添加一行,格式为“username:source_user”。其中,“username”是您想要允许使用su命令的用户名,“source_user”是您想要允许该用户切换到的用户。 - 您可以在文件中添加多行,以允许多个用户使用su命令。 例如,如果您想要允许用户“bob”使用su命令来切换到用户“root”,则可以在“/etc/su.allowed”文件中添加以下行: bob:root 2. 如果您正在寻找如何编写一个允许特定程序使用su命令的“/etc/su.allowed”文件,那么您可以按照以下步骤操作: - 创建一个名为“/etc/su.allowed”的文件。 - 在文件中添加一行,格式为“username:command”。其中,“username”是您想要允许使用su命令的用户名,“command”是您想要允许该用户使用su命令来执行的命令。 - 您可以在文件中添加多行,以允许多个用户使用su命令。 例如,如果您想要允许用户“bob”使用su命令来执行命令“/usr/bin/mysql”,则可以在“/etc/su.allowed”文件中添加以下行: bob:/usr/bin/mysql 请注意,这种用法可能会存在安全风险,因为允许用户使用su命令来执行任意命令可能会导致系统被攻击。因此,我们建议您仅在必要时使用此方法,并仔细审查允许使用su命令的用户和命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一枚开发小咸鱼

原创不宜,请作者喝杯咖啡吧。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值