“远端www服务支持TRACE请求“验证及修复jetty,非框架,内嵌版本

最新推荐文章于 2024-06-07 14:48:51 发布
最新推荐文章于 2024-06-07 14:48:51 发布
阅读量861 收藏
点赞数
分类专栏: JAVA 文章标签: java jar java-ee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44530086/article/details/123864222
版权

远端www服务支持TRACE请求

最近有个项目被扫出来这个漏洞,使用了jetty来做后台访问,在网上查了很多资料也没有找到如何去过滤这个请求
自定义拦截器

自己实现了一个拦截TRACE请求然后返回403,但是还能扫到,并没有解决该问题

最终解决办法

继承server类,重写handle方法

public class MySever extends Server {

	public MySever(QueuedThreadPool tp) {
		super(tp);
	}

	@Override
	public void handle(HttpChannel channel) throws IOException, ServletException {
		Request request = channel.getRequest();
		Response response = channel.getResponse();

		if ("TRACE".equals(request.getMethod())) {
			request.setHandled(true);
			response.setStatus(HttpServletResponse.SC_METHOD_NOT_ALLOWED);
		} else {
			super.handle(channel);
		}
	}

}
验证图片

收到trace请求后返回405
在这里插入图片描述

恋歌大大
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot异常处理静止trace
08-25
Spring Boot 异常处理静止 trace 一、Spring Boot 异常处理简介 在 Spring Boot 应用程序中,异常处理是一个常重要的方面。异常处理可以帮助我们更好地处理应用程序中的错误,提高应用程序的稳定性和可靠性。...
Jetty内嵌服务器实例
03-20
内嵌Jetty意味着将Jetty服务器直接集成到你的Java应用中,而不是作为一个独立的服务来运行。这种方式提供了更高的灵活性和控制权,特别适合于快速迭代的开发环境或者需要自定义服务器配置的情况。 在“Jetty内嵌...
如何在Jetty中禁用Trace方法
qq_33479841的博客
11-18 4227
1.概述 在最近一次的服务器漏洞检测中,我们线上的某个服务检测出漏洞:远端www服务支持TRACE请求。由于服务是基于springboot开发,容器选择的是内置的Jetty,所以本文针对的是Jetty容器如何禁止接收HTTP TRACE请求。 2.解决方案 2.1 什么是Trace Trace请求是HTTP请求的一种,可以用来回显服务器收到的请求,主要用于测试或诊断。个人之前基本没关注过这个请求方法,只知道它是HTTP请求的一种。TRACE方法本用于客户端测试到服务器的网络通路,通过允许客户端知道请求链另
web漏洞-远端WWW服务支持TRACE请求
热门推荐
qq_35578446的博客
06-13 1万+
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。
修复www服务trace漏洞
最新发布
weixin_44144092的博客
06-07 191
修复spring boot项目中的www trace漏洞
解决远端www服务支持TRACE请求的几种方式
qq_44691484的博客
05-31 8439
trace问题
远端WWW服务支持TRACE请求
龙卷风摧毁停车场
02-23 2177
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。
远端WWW服务支持TRACE请求(渗透测试复现及修改)
qq_42449510的博客
07-30 8835
关闭TRACE方法一、TRACE漏洞信息漏洞描述漏洞危害二、验证方法1.1 配置Java 环境变量1.2 安装Burp Suite1.3 使用Burp suite测试三、关闭TRACE请求 一、TRACE漏洞信息 漏洞描述 目标WEB服务器启用了TRACE方法。TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(XSS)攻击,这种攻击方式又称
jetty软件包升级版本
12-29
在软件开发过程中,定期更新Jetty版本常重要的,因为它可以提供最新的功能、性能优化以及安全修复。本篇将详细介绍如何进行Jetty软件包的升级过程,并探讨新版本11.0.12所带来的变化和改进。 首先,让我们了解...
Jetty版本软件包
05-29
Jetty软件包内容: jetty-distribution-9.4.51.v20230217.tar.gz jetty-distribution-9.4.51.v20230217.zip jetty-home-10.0.15.tar.gz jetty-home-10.0.15.zip jetty-home-11.0.15.tar.gz jetty-home-11.0.15.zip ...
网站常见漏洞及解决办法
09-29
远端WWW服务支持TRACE请求 解决方法: ①开启Apache 的mod_rewrite功能: 在Apahce的配置文件httpd.conf中把#LoadModule rewrite_module modules/mod_rewrite.so前的#去掉 在httpd.conf中找到下面这段 Options FollowSymLinks AllowOverride None 将AllowOverride None 改成 AllowOverride ALL 这样Apache的mod_rewrite就开启了。 ②在httpd.conf最后加上 RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] 禁用URL,返回403HTTP状态码
jetty-distribution-9.4.47.v20220610
12-12
jetty9.4.47用于部署或替换jar升级jetty解决安全漏洞 下载镜像地址https://repo1.maven.org/maven2/org/eclipse/jetty/jetty-distribution/9.4.47.v20220610/
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
coder_afly的博客
02-03 2680
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
远程WWW服务支持TRACE请求漏洞
huangbaokang的博客
04-30 3242
漏洞详细描述: 远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。 解决办法 1、停止Apache服务(以root权限登录) # cd /opt/IBM/H...
远端www服务支持TRACE请求“漏洞
juan_php_user的博客
09-26 1346
采用拦截器来过滤所有的trace请求->启动类增加配置来实现,或者和内嵌式tomcat一样直接添加Jetty配置类来实现也可以。在服务器漏扫中经常遇到"远端www服务支持TRACE请求"漏洞,绿盟扫描器所提供修复建议有不适用的情况。对已经处理过的不同应用禁用TRACE请求做一总结记录。注:在tomcat的在server.xml中先允许TRACE请求,再在web.xml中禁用TRACE,以此禁用TRACE请求.注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件。
centos修复 远端WWW服务支持TRACE请求
weixin_45618691的博客
12-01 696
centos修复 远端WWW服务支持TRACE请求
远程WWW服务支持TRACE请求
zhangnana200的博客
09-27 5855
最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务TRACE请求支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 远端WWW服务支持TRACE请求。RFC 2616介绍了T
内嵌jetty8升级到jetty11.0.9版本,都需要升级哪些东西
04-28
2. Servlet API版本Jetty 8支持Servlet API 2.5和3.0,而Jetty 11支持Servlet API 4.0和5.0。因此,您的应用程序需要更新为使用新的Servlet API版本。 3. Jetty配置文件:Jetty 11的配置文件与Jetty 8的配置文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值