如何关闭和测试Apache服务器的TRACE请求

最新推荐文章于 2024-06-08 08:02:26 发布
最新推荐文章于 2024-06-08 08:02:26 发布
阅读量3.4k 收藏 2
点赞数
分类专栏: Apache 文章标签: Apache Apache服务器 TRACE TRACE请求 关闭TRACE请求

TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息
关闭Apache的TRACE请求:

虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

关闭方法:

服务器用户在主配置文件httpd.conf尾部添加如下指令后重启apache即可:
TraceEnable off
可以直接配置在ServerRoot参数下面

测试方法:

通过telnet到HTTP的某个服务端口,进行测试,如下描述(红色为你要输入的部分)。
关闭前测试会返回200 OK:
[root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
Escape character is '^]'.
TRACE / HTTP/1.0
X-Test:abcde

HTTP/1.1 200 OK
Date: Wed, 18 Jul 2012 06:49:19 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
Connection: close
Content-Type: message/http

TRACE / HTTP/1.0
X-Test: abcde

Connection closed by foreign host.

 

关闭后测试会返回405 Method Not Allowed:
[root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
Escape character is '^]'.
TRACE / HTTP/1.0
X-Test:abcde

HTTP/1.1 405 Method Not Allowed
Date: Wed, 18 Jul 2012 06:50:05 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
Allow: 
Content-Length: 223
Connection: close
Content-Type: text/html; charset=iso-8859-1
X-Pad: avoid browser bug

区块链攻城狮
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux漏洞修复:Apache服务器TraceEnable漏洞的关闭测试方法/HTTP跟踪跨站攻击
Meodream的博客
08-28 4423
一、 Apache的主配置文件:/etc/httpd/conf/httpd.conf 默认站点主目录:/var/www/html/ Apache服务器的配置信息全部存储在主配置文件/etc/httpd/conf/httpd.conf中,这个文件中的内容非常多,用wc命令统计一共有1009行,其中大部分是以#开头的注释行。 二、 查看Apache版本 apachectl -v 三、 关闭方法: 在...
Apache服务器关闭TRACE Method请求方式的方法
01-20
如何关闭ApacheTRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部...
如何关闭Apache服务器TRACE请求
andy1219111的专栏
07-05 2万+
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 如何关闭Apac
如何关闭http Methods中的Trace 提高安全意识
01-20
使用Nikto测试服务器,发现HTTP开启了trace方法。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决: 禁用这些方式。 在配置文件http.conf 添加 TraceEnable off 即可关闭
apache 关闭TRACE请求,禁止跨站攻击(XSS攻击)
最新发布
qq_25096749的博客
06-08 394
详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html。注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理。2、apache禁止trace或track防止xss攻击。1、什么事XSS攻击。
[转载] Apache网站服务器安全之关闭TRACE Method
llnara的专栏
08-08 4002
网站优化至关重要,网站服务器安全也是重中之重。本文针对 Apache服务器介绍关闭TRACE Method的方法! 如何检测网站服务器安全:相信很多的seoer不是很了解,那么我介绍一个简单的方法用360的网站安全在线检测(webscan.360.cn)。只需要简单注册下验证一下网站权限就可以免费检测网站服务器漏洞网站漏洞了。 验证有三个方法,无关本文紧要暂且不表。也可以通过其他第三方网站
Apache服务器关闭TRACE Method请求方式
10-26 4401
我们知道TRACE和TRACK是用来调试web服务器连接的HTTP方式.支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST. 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息.我们要禁用trace可以使用rewrite功能来实现RewriteEngine On RewriteCondi %{REQUEST_METHOD}
禁用Apache的Options和Trace方法
netuser1937的博客
12-19 1万+
禁用Apache的Options和Trace方法
apache-skywalking-apm-8.5.0.tar.gz
01-03
1. **分布式追踪**:SkyWalking 可以收集服务间的调用链数据,提供可视化展示,帮助理解服务间的关系和请求流。 2. **性能监控**:通过指标如响应时间、吞吐量等,实时监控服务性能,发现潜在的性能瓶颈。 3. **告...
apache-tomcat-9.0.53.tar.gz
06-06
Apache Tomcat是一款开源的Java Servlet容器,用于部署和运行Java Web应用程序。它是Apache软件基金会的项目之一,专注于实现Java EE的Web部分,特别是Servlet和JSP规范。在本例中,我们关注的是版本9.0.53的压缩包...
apache-skywalking-apm-es7-8.7.0
02-25
它通过在请求中插入元数据(如span、trace ID等)来记录服务间的调用链路。 2. **服务网格监控**:除了传统的基于代理的监控方式,SkyWalking还支持服务网格(如Istio、Linkerd)的自动监控,无需代码改动即可监控...
2021-04-01
qq_36252010的博客
04-01 419
Apache的Track/trace请求设置(window下) 一、解决方式: 在httpd.conf尾部添加如下指令后重启apache: TraceEnable off 二、测试(该测试方法在apache未开启https的前提下有效) 在命令窗口中,使用telnet命令进行测试 输入 【telnet xxx.xxx.xxx.xxx 80】点击回车 输入【TRACE / HTTP/1.0】回车 输入【X-Test: 123456】两次回车 在命令窗口中,使用teln...
Apache服务深入学习篇(详细介绍)
征服Bug的博客
12-07 3042
什么是ApacheApache的使用版本 这里我们主要介绍一下最新版本2.4的学习目录官方文档:Apache HTTP Server 2.4 中的新功能概述 - Apache HTTP Server 版本 2.4 三,模块增强功能 四,程序功能增强 五,文档 六,模块开发人员更改 apache的主配置文件参数说明 httpd中httpd-vhosts.conf配置文件的参数说明 Apache 的三种工作模式(Prefork、Worker、Event)
Apache2.4配置(全)
weixin_33709590的博客
06-14 259
本章目录标签:apache开机自启动配置多个虚拟主机基于域名IPPORT配置域名跳转屏蔽恶意USER_AGENG配置用户认证访问控制配置防盗链配置静态文件缓存配置伪静态自定义访问日志错误日志格式排除无意义的日志日志切割错误日志级别-差异记录开启server-infoserver-statusHTTP11 状态码ErrorDocumentAlias1、apache开机自启动[r...
Apache的Track/trace请求漏洞修补(关闭请求类型并测试是否关闭
向技术大牛致敬
03-21 5346
一.先测试是否允许 Track/trace 请求 操作流程: 1.先打开windows的命令工具,开始进行如下测试↓↓↓↓↓↓↓ 测试方法: 通过telnet到HTTP的某个服务端口,进行测试,如下描述(红色为你要输入的部分)。 关闭测试会返回200 OK: [root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80 Trying xxx.xxx.xxx.xxx.....
php cli debug,关于cakephp:如何使用xdebug调试PHP CLI脚本?
weixin_31047023的博客
03-10 205
我还不太清楚。 我发现的每篇文档都涵盖了如何使用xdebug调试在Apache中运行的脚本。 我需要调试php CLI脚本。因此,例如,如何传递XDEBUG_SESSION_START变量来启动xdebug?我专门尝试调试CakePHP shell。 因此,如果有人对此有任何其他了解,我将不胜感激。谢谢。您可能还想在这里查看:stackoverflow.com/questions/2288612/...
apache 禁用TRACE / TRACK方法,及测试过程
zbr0418的博客
09-29 4513
apache 禁用TRACE / TRACK方法禁用方法本地测试过程课程分享: 禁用方法 在httpd.conf 中增加一行“TraceEnable off” 本地测试过程 通过telnet到HTTP的某个服务端口,进行测试,如下描述 (红色为需要输入的部分)。 关闭测试会返回200 OK: [root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80 Trying xxx.xxx.xxx.xxx... Connected to xxx.xxx.xxx.xxx (xxx.xxx.x
PHP编译选项
热门推荐
godmatrix的专栏
10-27 2万+
PHP安装./configure --prefix=/usr/local/php --with-config-file-path=/usr/local/php/etc --with-mysql=/usr/local/mysql --with-mysqli=/usr/bin/mysql_config --with-iconv-dir=/usr/local --with-freetype-dir --with-jpeg-dir --with-png-dir --with-zlib --with-libxml-d
禁用HTTP跟踪/跟踪
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-24 3337
完整请求(包括HTTP标头,可包括cookie或身份验证数据等敏感信息)将在TRACE响应的实体主体中返回。该请求主要由开发人员用于测试和调试HTTP应用程序,并且在大多数Web服务器软件中默认可用。2、Doris部署BE后端时,会使用python的SimpleHTTPServer(生产环境不建议使用,它只实现了简单的安全性)或http.server模块(不建议生产)来快速实现web服务。3、基于上,更换doris的web为http或nginx来实现。在http和nginx上实现禁用trace。...
禁止使用TRACE请求的方法
05-12
TRACE方法是一种用于调试Web应用程序的HTTP方法,它允许客户端查看发送给服务器请求头和响应头。由于TRACE方法可能会泄露敏感信息,比如cookie等,因此它可能会被攻击者利用来发起跨站脚本攻击或跨站请求伪造攻击。 为此,许多Web服务器和Web应用程序都禁止使用TRACE方法。如果你正在编写Web应用程序,建议你也禁止使用TRACE方法。你可以在Web服务器或Web应用程序中进行配置,以禁止使用TRACE方法。例如,在Apache服务器中,你可以通过在httpd.conf文件或.htaccess文件中添加以下行来禁止TRACE方法: ``` RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F] ``` 这将返回一个403 Forbidden响应,从而禁止使用TRACE方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值