解决远端www服务支持TRACE请求的几种方式

已于 2023-04-02 22:13:50 修改
阅读量7.9k 收藏 11
点赞数 2
分类专栏: java小实践 非功能测试 文章标签: 安全 trace
于 2022-05-31 14:16:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44691484/article/details/125064060
版权

目录

1.为什么要禁止

漏洞描述:

漏洞危害:

2.怎么判断当前虚机是否存在trace漏洞

3.解决方式

3.1虚机层解决

3.2代码层修改

1.为什么要禁止

漏洞描述:

目标WEB服务器启用了TRACE方法。TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(XSS)攻击,这种攻击方式又称为跨站跟踪攻击(XST)

漏洞危害:

恶意攻击者可以通过TRACE Method返回的信息了解到网站前端的一些信息,如缓存服务器等,从而为下一步的攻击提供便利。
恶意攻击者可以通过TRACE Method进行XSS攻击
即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息,那么通过TRACE Method恶意攻击者还是可以绕过这个限制读取到cookie信息。


2.怎么判断当前虚机是否存在trace漏洞

服务器输入:

curl -v -X TRACE http://ip:端口号

存在trace漏洞,解决完成之后,无200响应即可

3.解决方式

3.1虚机层解决

IIS服务器:

   

     URLScan

Apache服务器:找到相关apach配置目录

1、停止Apache服务(以root权限登录)

                #    cd  /opt/IBM/HTTPServer/bin

                #    ./apachectl stop

2、修改httpd.conf文件

               #   cd  /opt/IBM/HTTPServer/conf

              编辑httpd.conf文件
 
              # 首先,激活rewrite模块(去掉符号#)
              LoadModule rewrite_module modules/mod_rewrite.so

             # 启用Rewrite引擎
             RewriteEngine On
            

             # 对Request中的Method字段进行匹配:^TRACE 即以TRACE字符串开头
             RewriteCond %{REQUEST_METHOD} ^TRACE
             

             # 定义规则:对于所有格式的来源请求,均返回[F]-Forbidden响应
             RewriteRule .* - [F]
 
            对于2.0.55以上版本的apache服务器,有一种更简单的办法:
            TraceEnable off



3、启动Apache服务(以root权限登录)

                #    cd  /opt/IBM/HTTPServer/bin

                #    ./apachectl start

3.2代码层修改

boot项目,内嵌undertow容器解决方案:

pom依赖:

<dependency>
    <groupId>org.springframwork.boot</groupId>
    <artifactId>spring-boot-starter-undertow</artifactId>
</dependency>

前提是,这个类,可以被扫描到,componentScan扫描到

注:定制器怎么调用、加载的,可参考:源码解析

@Configuration
public class UndertowWebServerCustomizerConfig implements WebServerFactoryCustomizer<UndertowServletWebServerFactory>{

    @Override
    public void customize(UndertowServletWebServerFactory factory){
        factory.addDeploymentInfoCustomizers(deploymentInfo ->{
            deploymentInfo.addInitualHandlerChainWrapper(new HandlerWrapper(){
                
                @Override
                public HttpHandler wrap(HttpHandler handler){
                    HttpString[] disallowerHttpMethods = {HttpString.tryFromString("TRACE"),HttpString.tryFromString("TRACK")
                    };

                    return new DisallowedMethodsHandler(handler,disallowerHttpMethods );
                }  
            });
        });

    }

}

其余容器的解决方案如下:

可参考:https://www.cnblogs.com/zcg-cpdd/p/14485370.html

一片星空~
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
BLOG_Oracle_lhr_【方法整理】Oracle 获取trace跟踪文件名的几种常用方式.pdf
08-06
BLOG_Oracle_lhr_【方法整理】Oracle 获取trace跟踪文件名的几种常用方式.pdfBLOG_Oracle_lhr_【方法整理】Oracle 获取trace跟踪文件名的几种常用方式.pdfBLOG_Oracle_lhr_【方法整理】Oracle 获取trace跟踪文件名的几种常用方式.pdf
远程WWW服务支持TRACE请求
zhangnana200的博客
09-27 5807
最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务TRACE请求支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 远端WWW服务支持TRACE请求。RFC 2616介绍了T
Apache服务器关闭TRACE Method请求方式方法
01-20
TRACE和TRACK是用来调试web服务器连接的HTTP方式支持方式服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭Apache的TRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
springboot springcloud gateway 中的 undertow 禁止接收trace请求(修复漏洞)
最新发布
Java技术干货
04-19 360
修复trace请求漏洞
网站常见漏洞及解决办法
09-29
远端WWW服务支持TRACE请求 解决方法: ①开启Apache 的mod_rewrite功能: 在Apahce的配置文件httpd.conf中把#LoadModule rewrite_module modules/mod_rewrite.so前的#去掉 在httpd.conf中找到下面这段 Options FollowSymLinks AllowOverride None 将AllowOverride None 改成 AllowOverride ALL 这样Apache的mod_rewrite就开启了。 ②在httpd.conf最后加上 RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] 禁用URL,返回403HTTP状态码
web漏洞-远端WWW服务支持TRACE请求
热门推荐
qq_35578446的博客
06-13 1万+
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。
远端WWW服务支持TRACE请求
龙卷风摧毁停车场
02-23 1847
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。
远端WWW服务支持TRACE请求(渗透测试复现及修改)
qq_42449510的博客
07-30 8346
关闭TRACE方法一、TRACE漏洞信息漏洞描述漏洞危害二、验证方法1.1 配置Java 环境变量1.2 安装Burp Suite1.3 使用Burp suite测试三、关闭TRACE请求 一、TRACE漏洞信息 漏洞描述 目标WEB服务器启用了TRACE方法TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(XSS)攻击,这种攻击方式又称
远程WWW服务支持TRACE请求(tomcat漏洞修复及测试方案)
weixin_42740540的博客
06-10 5305
近期主机安全扫描除了安全漏洞,如图 看到该问题的第一思路,找到具体端口号对应的应用。主机配置httpd服务信息。最终发现主机上并未开启httpd服务。应用是基于tomcat发布的,并且为springboot的内嵌tomcat。意思就是说跟主机侧无关,需要调整应用侧代码。于是百度 tomcat传统形式通过配置web.xml达到禁止不安全的http方法 <security-constraint> <web-resource-collection...
嵌入式系统/ARM技术中的IAR 发布ARM Trace解决方案
12-10
IAR Systems于今日发布了其ARM系列调试工具中的下一代产品:硬件调试设备IAR J-Trace:trade_mark:。它支持所有带ETM (Embedded Trace Macrocell) 的ARM7和ARM9处理器,通过全速USB 2.0接口与主机连接,并提供2M字节的Trace缓存。IAR Systems带有C/C++编译器和调试工具的集成开发环境——IAR Embedded Workbench:registered: for ARM,能够完全支持IAR J-Trace。通过独立的JTAG接口,IAR J-Trace同样也能够作为一台标准的JTAG仿真器使用;零售价仅为1195美元或995欧元。全球的ARM开发者如今能
ng-trace:AngularJS $http 服务请求的长堆栈跟踪
07-03
ng-trace AngularJS $http 服务请求的长堆栈跟踪。 从网上商店安装
linux中利用tacktrace信息解决段错误
04-22
linux中利用tacktrace信息解决段错误
Spring Boot异常处理静止trace
08-25
主要介绍了Spring Boot异常处理静止trace,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Linux系统漏洞扫描及中高危漏洞解决
hjh872505574的专栏
08-13 1858
在项目即将上线的时候,很多甲方公司,需要对乙方公司开发的系统进行漏洞扫描, 其中 中高危的漏洞是必须要解决的,甲方才会让你的系统发布上线,低危漏洞甲方不需要你马上解决,可暂时不用去管 这里列举一下楼主平时遇到的中高危漏洞问题和解决方法(持续补充中~~) 1、允许TRACE方法 类型:中危漏洞 原因:配置不当 漏洞描述:TRACE是一种HTTP方法允许TRACE方法的Web服务器存在跨站脚本漏洞 解决方法:禁用TRACE方法,IIS可使用URLScan禁用...
允许Traceroute探测漏洞和ICMP timestamp请求响应漏洞解决方法(三)
冰恋云的专栏
07-06 2591
解决办法 在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。1、关闭Traceroute探测的方法。2、重新载入防火墙配置。
远程WWW服务支持TRACE请求漏洞
huangbaokang的博客
04-30 3133
漏洞详细描述: 远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。 解决办法 1、停止Apache服务(以root权限登录) # cd /opt/IBM/H...
undertow 远端WWW服务支持TRACE请求漏洞修复
LOOPY_Y的博客
05-19 998
undertow 远端WWW服务支持TRACE请求漏洞,复现方法和修复方法
管理员应禁用WWW服务TRACE请求支持
06-10
是的,为了防止攻击者利用 TRACE 请求方法进行跨站脚本攻击和其他类型的攻击,Web 服务器管理员应该禁用 WWW 服务TRACE 请求支持。禁用 TRACE 请求方法方法因 Web 服务器而异,但通常可以通过修改服务器配置文件或使用安全模块或插件来实现。同时,管理员还应该定期更新 Web 服务器软件以修复已知的漏洞,并采取其他安全措施,如使用 HTTPS 协议来保护敏感数据的传输。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值