[CVE-2003-1567]主机支持TRACE漏洞,禁用方法

最新推荐文章于 2024-07-12 13:45:39 发布
最新推荐文章于 2024-07-12 13:45:39 发布
阅读量2.8k 收藏
点赞数 1
文章标签: 运维 python java
原文链接:https://my.oschina.net/u/2464371/blog/3054342
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

  • CVE-2003-1567 主机支持TRACE和/或TRACK方法。 TRACE和TRACK是HTTP用来调试web服务器连接的方法。
  • 加固建议 禁用TRACE / TRAC方法,参考如下:
  1. IIS下:IIS信息服务-web服务扩展:禁止"WebDAV;
  2. apache下:修改httpd.conf配置文件中"TraceEnable on"为"TraceEnable off"
  3. springboot
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {// 1
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addMethod("HEAD");
                collection.addMethod("PUT");
                collection.addMethod("DELETE");
                collection.addMethod("OPTIONS");
                collection.addMethod("TRACE");
                collection.addMethod("COPY");
                collection.addMethod("SEARCH");
                collection.addMethod("PROPFIND");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        //如果需要禁用TRACE请求,需添加以下代码:
        tomcat.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return tomcat;
    }

转载于:https://my.oschina.net/u/2464371/blog/3054342

weixin_34402090
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
http TRACE 跨站攻击 CVE-2003-1567
CVE-2004-2320
CVE-2010-0386
cuizhijun521521的博客
06-25 3151
http TRACE 跨站攻击 如果webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。解决方案: 禁用这些方式。 什么是“跨站攻击”呢?业界...
CVE-2003-1567
龙卷风摧毁停车场
03-14 758
微软互联网信息服务(IIS)5.0中未记录的TRACK方法在响应正文中返回原始请求的内容,这使得远程攻击者更容易窃取cookie和身份验证凭据,或通过使用TRACK读取响应中返回的HTTP标头的内容来绕过HttpOnly保护机制,这种技术类似于使用HTTP TRACE的跨站点跟踪(XST)。同时 linux web服务器也会存在此漏洞
web漏洞-远端WWW服务支持TRACE请求
热门推荐
qq_35578446的博客
06-13 1万+
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。
禁用Web服务器the TRACE and TRACK methods,修复80端口httpd漏洞CVE-2003-1567
lf_she的博客
08-07 2415
漏洞报告显示: Medium (CVSS: 5.8) NVT: HTTP Debugging Methods (TRACE/TRACK) Enabled References cve: CVE-2003-1567 cve: CVE-2004-2320 cve: CVE-2004-2763 cve: CVE-2005-3398 cve: CVE-2006-4683 cve: CVE-2007-3008 cve: CVE-2008-7253 cve: CVE-2009-2823 cve: CVE-2010-03
解决远端www服务支持TRACE请求的几种方式
qq_44691484的博客
05-31 8363
trace问题
远端WWW服务支持TRACE请求
龙卷风摧毁停车场
02-23 2100
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。
TRACE (VC)
fnjejkd的博客
10-30 331
TRACE 1、TRACE和TRACK是用来调试web服务器连接的HTTP方式。 2、TRACE宏对于VC下程序调试来说是很有用的东西,有着类似printf的功能。 3、MATLAB函数,用于求二维方阵的迹,即该方阵对角线上元素之和。4、Flex中的调试信息显示函数,用于在debug(调试)模式下输出。 VC中的trace 编辑 该宏仅仅在程序的DEBUG版本中出现,当RELEASE的时候该宏就完...
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
远端WWW服务支持TRACE请求(渗透测试复现及修改)
qq_42449510的博客
07-30 8774
关闭TRACE方法一、TRACE漏洞信息漏洞描述漏洞危害二、验证方法1.1 配置Java 环境变量1.2 安装Burp Suite1.3 使用Burp suite测试三、关闭TRACE请求 一、TRACE漏洞信息 漏洞描述 目标WEB服务器启用了TRACE方法TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(XSS)攻击,这种攻击方式又称
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
coder_afly的博客
02-03 2629
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
远程WWW服务支持TRACE请求
zhangnana200的博客
09-27 5844
最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务对TRACE请求的支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 远端WWW服务支持TRACE请求。RFC 2616介绍了T
HTTP TRACE
04-17 5671
http://www.guanwei.org/post/applicationsecurity/11/HTTP-TRACE.html 原文地址
springboot项目解决www的trace漏洞
碎片令人怀念的的博客
08-25 5253
最近公司一直对安全方面抓的较紧,今天需要升级fastjson的漏洞,明天升级组件中引用的jackson漏洞,还有跨域等,这里针对项目中的一个www攻击trace漏洞的解决进行记录下: 1、首先应用部署到linux环境后,检查trace漏洞用如下命令: curl -i -s -k -X $'TRACE' \ -H $'Host: 10.11.10.11:9801' -H $'Pragma: no-cache' -H $'Cache-Control: no-cache' -H $'DNT: 1' .
centos中远端WWW服务支持TRACE请求漏洞解决
wushi0101的专栏
01-29 4527
暂未进行验证 第一个验证版本(未验证)(出处https://blog.csdn.net/wbryfl/article/details/79203315) linux具体操作如下: 找到服务器配置文件   /etc/httpd/conf/httpd.conf   在文件最后一行加上 TraceEnable off   如果不行的话在 vhost.conf 也加上以上的指令,重启apache   /...
聊聊如何在内网下构建大模型微调环境
最新发布
python1234567_的博客
07-12 658
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值