undertow 远端WWW服务支持TRACE请求漏洞修复

最新推荐文章于 2024-04-27 17:30:34 发布
最新推荐文章于 2024-04-27 17:30:34 发布
阅读量930 收藏 2
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46505978/article/details/130593413
版权

undertow 远端WWW服务支持TRACE请求漏洞修复

1 漏洞说明及复现

1.1 漏洞说明

在这里插入图片描述

1.2 漏洞复现

执行命令 curl -v -X TRACE IP:PORT ,可以看到200响应,即存在trace漏洞。

[root@vxdfbdbgggsd ~]# curl -v -X TRACE 192.168.21.237:8081
·······省略以上·······
> TRACE HTTP://192.168.21.237:8081/ HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.21.237:8081
> Accept: */*
> Proxy-Connection: Keep-Alive
> 
< HTTP/1.1 200 OK     (这里的状态为200)
< Content-Type: message/http
< Content-Length: 216
< Date: Wed, 10 May 2023 01:28:03 GMT
< X-Cache: MISS from adadavfbbbf
< Via: 1.1 adadavfbbbf(squid/4.15)
< Connection: keep-alive
< 
·······省略以下·······
[root@vxdfbdbgggsd ~]#

2 漏洞修复

springboot内嵌undertow容器时,pom中存在undertow相关依赖:

<dependency>
    <groupId>org.springframwork.boot</groupId>
    <artifactId>spring-boot-starter-undertow</artifactId>
</dependency>

新增一个配置类:

import io.undertow.server.HandlerWrapper;
import io.undertow.server.HttpHandler;
import io.undertow.server.handlers.DisallowedMethodsHandler;
import io.undertow.util.HttpString;
import org.springframework.boot.web.embedded.undertow.UndertowServletWebServerFactory;
import org.springframework.boot.web.server.WebServerFactoryCustomizer;
import org.springframework.context.annotation.Configuration;

@Configuration
public class UndertowWebServerCustomizerConfig implements WebServerFactoryCustomizer<UndertowServletWebServerFactory>{
 
    @Override
    public void customize(UndertowServletWebServerFactory factory){
        factory.addDeploymentInfoCustomizers(deploymentInfo ->{
            deploymentInfo.addInitualHandlerChainWrapper(new HandlerWrapper(){
                
                @Override
                public HttpHandler wrap(HttpHandler handler){
                    HttpString[] disallowerHttpMethods = {HttpString.tryFromString("TRACE"),HttpString.tryFromString("TRACK")
                    };
 
                    return new DisallowedMethodsHandler(handler,disallowerHttpMethods );
                }  
            });
        });
 
    }
 
}

重启服务即可。

3 漏洞修复后验证

可以看到,已经没有200响应了。

[root@vxdfbdbgggsd ~]# curl -v -X TRACE 192.168.21.237:8081
* About to connect() to proxy 192.168.21.238 port 3128 (#0)
*   Trying 192.168.21.238...
* Connected to 192.168.21.238 (192.168.21.238) port 3128 (#0)
> TRACE HTTP://192.168.21.237:8081/ HTTP/1.1
> User-Agent: curl/7.29.0
> Host: 192.168.21.237:8081
> Accept: */*
> Proxy-Connection: Keep-Alive
> 
< HTTP/1.1 405 Method Not Allowed
< Content-Length: 0
< Date: Wed, 17 May 2023 10:44:33 GMT
< X-Cache: MISS from adadavfbbbf
< Via: 1.1 adadavfbbbf (squid/4.15)
< Connection: keep-alive
< 
* Connection #0 to host 192.168.21.238 left intact
[root@vxdfbdbgggsd ~]#
LOOPY_Y
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网站常见漏洞及解决办法
09-29
远端WWW服务支持TRACE请求 解决方法: ①开启Apache 的mod_rewrite功能: 在Apahce的配置文件httpd.conf中把#LoadModule rewrite_module modules/mod_rewrite.so前的#去掉 在httpd.conf中找到下面这段 Options FollowSymLinks AllowOverride None 将AllowOverride None 改成 AllowOverride ALL 这样Apache的mod_rewrite就开启了。 ②在httpd.conf最后加上 RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] 禁用URL,返回403HTTP状态码
springboot项目漏洞远端WWW服务支持TRACE请求”解决
coder_afly的博客
02-03 2315
springboot项目漏洞远端WWW服务支持TRACE请求”解决
一次网络请求是如何实现的
weixin_30938149的博客
05-18 493
原文:https://web.stanford.edu/class/msande91si/www-spr04/readings/week1/InternetWhitepaper.htm 非常非常喜欢这篇来自Stanford的文章,也让我见识到美国人是如何将一个在我们的教科书里看来枯燥的故事,讲的这么引人入胜,让人由浅入深,一个个问题引发的思考下的学习,一气读下来酣畅淋漓,如果我们的技术...
HTTP/1.0和HTTP/1.1的区别,HTTP怎么处理长连接
05-08 786
1.HTTP简介   web浏览器和服务器之类的交互过程必须遵守的协议.他是tcp/ip中的一个应用协议。用来协议数据交换过程和数据本身的格式.主要的有HTTP/1.0和HTTP1.1.   HTTP/1.0和HTTP/1.1都把TCP作为底层的传输协议。   HTTP客户首先发起建立与服务器TCP连接。一旦建立连接,浏览器进程和服务器进程就可以通过各自的套接字来访问TCP...
远端WWW服务支持TRACE请求
龙卷风摧毁停车场
02-23 1735
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。
web漏洞-远端WWW服务支持TRACE请求
热门推荐
qq_35578446的博客
06-13 1万+
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。
解决远端www服务支持TRACE请求的几种方式
qq_44691484的博客
05-31 7788
trace问题
远端www服务支持TRACE请求漏洞
juan_php_user的博客
09-26 1027
采用拦截器来过滤所有的trace请求->启动类增加配置来实现,或者和内嵌式tomcat一样直接添加Jetty配置类来实现也可以。在服务器漏扫中经常遇到"远端www服务支持TRACE请求"漏洞,绿盟扫描器所提供修复建议有不适用的情况。对已经处理过的不同应用禁用TRACE请求做一总结记录。注:在tomcat的在server.xml中先允许TRACE请求,再在web.xml中禁用TRACE,以此禁用TRACE请求.注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件。
Spring Boot实现Undertow服务器同时支持HTTP2、HTTPS的方法
08-26
考虑如何让Spring Boot应用程序同时支持HTTPHTTPS两种协议。小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用 Spring Boot 内嵌容器 Undertow创建服务器的方法
08-28
Undertow是一个非常轻量并高性能的web server,它来自 JBoss。支持blocking和non-blocking两种NIO API。接下来通过本文给大家介绍使用Spring Boot 内嵌容器 Undertow创建服务器的方法,感兴趣的朋友一起看看吧
undertow:高性能无阻塞Web服务
02-25
Undertow是基于非阻塞IO的Java Web服务器。 它由几个不同的部分组成: 支持阻塞和非阻塞IO的核心HTTP服务器 Servlet 4.0实现 符合JSR-356的Web套接字实现 网站: : 问题: : 项目负责人:Flavia Rainone ...
undertow,高性能无阻塞Web服务器.zip
10-10
Undertow是一个基于非阻塞IO的Java Web服务器。它由几个不同的部分组成:
undertow-2.2.18.Final.zip
06-17
undertow-2.2.18.Final.zip
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 415
都是符合我们的预期的。
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 479
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1503
c++中string的模拟实现,面试必会知识点
Day25-Java基础之常用类1
最新发布
m0_46053885的博客
04-27 583
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
使用undertow 创建websocket 服务
05-31
好的,以下是使用Undertow创建WebSocket服务的简要步骤: 1. 添加Undertow依赖项:在您的Maven或Gradle项目中,添加Undertow服务器和WebSocket依赖项。 2. 创建WebSocket端点:定义一个类来实现WebSocket协议和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值