Apache的Track/trace请求漏洞修补(关闭其请求类型并测试是否关闭)

最新推荐文章于 2024-06-07 14:48:51 发布
最新推荐文章于 2024-06-07 14:48:51 发布
阅读量5.3k 收藏 3
点赞数
分类专栏: WEB漏洞修复 文章标签: Apache Apache漏洞 trace Track
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42799222/article/details/88710097
版权

一.先测试是否允许 Track/trace 请求

操作流程: 
1.先打开windows的命令工具,开始进行如下测试↓↓↓↓↓↓↓
测试方法:
通过telnet到HTTP的某个服务端口,进行测试,如下描述(红色为你要输入的部分)。
关闭前测试会返回200 OK:
[root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
Escape character is '^]'.
TRACE / HTTP/1.0
X-Test:abcde
HTTP/1.1 200 OK
Date: Wed, 18 Jul 2012 06:49:19 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
Connection: close
Content-Type: message/http
TRACE / HTTP/1.0
X-Test: abcde
Connection closed by foreign host.

如果是关闭:

关闭后测试会返回405 Method Not Allowed:================================================================
注:windows已安装telnet客户端在吧  
1).输入 【telnet xxx.xxx.xxx.xxx 80】点击回车
2).输入【CTRL+]】点击回车,再点击回车
3).输入【TRACE / HTTP/1.0】回车
4).输入【X-Test: abcde】两次回车
结束,看结果
================================================================
2.如果返回就是405 Method not Allowed,说明测试结果为TRACK请求已关闭,无需进行任何操作
3.如果返回是200 OK 。请继续如下操作。
4.关闭Apache服务。
5.请将文件httpd.conf文件复制到D:/PHPstudy/Apache/conf/中(先将原文件备份)
6.重启Apache服务。重复第一步操作进行测试。

二.关闭方式

1.在.htaccess文件中添加如下代码过滤TRACE请求:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</IfModule>

2.在httpd.conf尾部添加如下指令后重启apache:

TraceEnable off

三.其他遇到的问题

1.telnet 无效指令,如图:

解决办法:

区块链攻城狮
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apache隐藏版本号信息和关闭trace方法
06-20
apache隐藏版本号信息和关闭trace方法
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACETRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭ApacheTRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
apache漏洞汇总apache漏洞汇总
03-29
Apache-flink 未授权访问任意jar包上传反弹shell CVE-2019-0193 Apache-Solr via Velocity template RCE CVE-2019-17564 Apache-Dubbo反序列化漏洞 CVE-2020-13925 Apache Kylin 远程命令执行漏洞 CVE-2020-13957 Apache Solr 未授权上传
修复www服务trace漏洞
最新发布
weixin_44144092的博客
06-07 181
修复spring boot项目中的www trace漏洞
linux 关闭trace方法,Apache TraceEnable关闭测试方法
weixin_35843812的博客
05-15 889
系统环境:OS: RHEL5.6_x64Apache: httpd-2.2.11关闭方法:在主配置文件httpd.conf中添加配置:TraceEnable off可以直接配置在ServerRoot参数下面。测试方法:通过telnet到HTTP的某个服务端口,进行测试,如下描述(红色为你要输入的部分)。关闭测试会返回200 OK:[root@web001 ~]$ telnet xxx.xxx.x...
2021-04-01
qq_36252010的博客
04-01 416
ApacheTrack/trace请求设置(window下) 一、解决方式: 在httpd.conf尾部添加如下指令后重启apache: TraceEnable off 二、测试(该测试方法在apache开启https的前提下有效) 在命令窗口中,使用telnet命令进行测试 输入 【telnet xxx.xxx.xxx.xxx 80】点击回车 输入【TRACE / HTTP/1.0】回车 输入【X-Test: 123456】两次回车 在命令窗口中,使用teln...
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法漏洞修复
LENGTH18的博客
08-27 4056
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞(1)
2401_84545291的博客
05-13 1094
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
html5媒体标签track,HTML: <track> 标签
weixin_27070451的博客
06-21 318
HTML: 标签HTML 元素 被当作媒体元素— 和 的子元素来使用。它允许指定时序文本字幕(或者基于时间的数据),例如自动处理字幕。字幕格式有 WebVTT 格式(.vtt格式文件)— Web 视频文本字幕格式,以及指时序文本标签语言(TTML)格式。track 给媒体元素添加的数据的类型在 kind 属性中设置,属性值可以是 subtitles, captions, de...
如何关闭测试Apache服务器的TRACE请求
向技术大牛致敬
02-20 3488
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 TRACETRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 关闭ApacheTRACE...
查看kernel 是否支持trace
liu-yonggang的专栏
08-30 82
查看kernel 是否支持trace
JAVA发送http get/post请求,调用http接口、方法详解
08-26
然后,我们构建了请求正文,并将其封装到`RequestEntity`中。最后,我们通过`httpClient.executeMethod()`执行请求,并从响应中获取并打印了正文。 对于**HTTP GET请求**,我们可以使用`GetMethod`类,代码如下: ...
远端WWW服务支持TRACE请求
龙卷风摧毁停车场
02-23 2114
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。
检查服务器是否开启track模式
weixin_34015860的博客
07-19 478
curl-v-XTRACEhttp://www.yourserver.com curl--insecure-v-XTRACEhttps://www.yourserver.com/*Abouttoconnect()towww.yourserver.comport80 *Tryingxx.xx.xx.ip...connected *C...
apache禁止tracetrack防止xss***
weixin_34194702的博客
08-13 92
TRACETRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。 ***者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 禁用trace可以使用rewrite功能来实现RewriteEngine On RewriteCondi %{REQUEST_M...
apache 禁用TRACE / TRACK方法,及测试过程
zbr0418的博客
09-29 4502
apache 禁用TRACE / TRACK方法禁用方法本地测试过程课程分享: 禁用方法 在httpd.conf 中增加一行“TraceEnable off” 本地测试过程 通过telnet到HTTP的某个服务端口,进行测试,如下描述 (红色为需要输入的部分)。 关闭测试会返回200 OK: [root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80 Trying xxx.xxx.xxx.xxx... Connected to xxx.xxx.xxx.xxx (xxx.xxx.x
tomcat原理以及处理HTTP请求的过程
前进的南山
07-10 2358
一、TOMCAT 1 - Tomcat Server的组成部分 1.1 - Server A Server element represents the entire Catalina servlet container. (Singleton) 1.2 - Service A Service element represents the combination of o
HTTP请求类型详解
weixin_42277815的博客
05-19 1440
1.GET请求 最常见的一种请求方式,主要用于向指定的URL(URI)请求资源,请求参数和对应的值附加在URL后面。例如,/index.jsp?id=100&op=bind,。 这种方式不适合传送私密数据。由于不同的浏览器对地址的字符限制也有所不同,一般最多只能识别1024个字符,所以如果需要传送大量数据的时候,也不适合使用GET方式。 GET不会改变资源状态,是等幂的。即:一次请求和多次请求,资源的状态是一样。GET、HEAD、DELETE、PUT也是等幂的。 2.POST请求 主要是向指定的UR
远程WWW服务支持TRACE请求
zhangnana200的博客
09-27 5846
最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务对TRACE请求的支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 远端WWW服务支持TRACE请求。RFC 2616介绍了T
apache-coyote/1.1漏洞
03-16
apache-coyote/1.1漏洞是指Apache Tomcat服务器中的一个安全漏洞,攻击者可以利用该漏洞来执行恶意代码或者获取敏感信息。该漏洞主要是由于Tomcat服务器在处理某些HTTP请求时存在缺陷,攻击者可以通过发送特定的请求来触发该漏洞。为了避免该漏洞的攻击,建议管理员及时更新Tomcat服务器的补丁,并加强服务器的安全配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值