漏洞修复之关闭 TRACE and/or TRACK methods

最新推荐文章于 2024-06-08 08:02:26 发布
最新推荐文章于 2024-06-08 08:02:26 发布
阅读量1.3k 收藏
点赞数 3
分类专栏: Linux 漏洞修复 文章标签: 漏洞修复 TRACK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xch_yang/article/details/128241403
版权

漏洞描述:

The remote web server supports the TRACE and/or TRACK methods. TRACE and TRACK are HTTP methods which are used to debug web server connections.

The web server has the following HTTP methods enabled: TRACE
Impact
An attacker may use this flaw to trick your legitimate web users to give him their credentials.
Solution:
Solution type: Mitigation
Disable the TRACE and TRACK methods in your web server conguration.
Please see the manual of your web server or the references for more information.
Aected Software/OS
Web servers with enabled TRACE and/or TRACK methods.
Vulnerability Insight
It has been shown that web servers supporting this methods are subject to cross-site-scripting
attacks, dubbed XST for Cross-Site-Tracing, when used in conjunction with various weaknesses
in browsers.
Vulnerability Detection Method
Checks if HTTP methods such as TRACE and TRACK are enabled and can be used.
Details: HTTP Debugging Methods (TRACE/TRACK) Enabled
OID:1.3.6.1.4.1.25623.1.0.11213
Version used: 2022-05-12T09:32:01Z
References
cve: CVE-2003-1567
cve: CVE-2004-2320
cve: CVE-2004-2763
cve: CVE-2005-3398
cve: CVE-2006-4683
cve: CVE-2007-3008
cve: CVE-2008-7253
cve: CVE-2009-2823
cve: CVE-2010-0386
cve: CVE-2012-2223
cve: CVE-2014-7883

漏洞解决:根据建议关闭 TRACE and TRACK methods

处理方法:Apache版本大于2.2,在 httpd.conf 末尾添加 TraceEnable off

1、查看Apache版本:httpd -v

[root@ecs-9408 conf]# httpd -v
-bash: httpd: command not found
[root@ecs-9408 conf]# export PATH=/usr/local/apache/bin:$PATH
[root@ecs-9408 conf]# echo $PATH
/usr/local/apache/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
[root@ecs-9408 conf]# httpd -v
Server version: Apache/2.4.54 (Unix)
Server built:   Nov  6 2022 20:58:09

2、编辑 httpd.conf

vi /usr/local/apache/conf/httpd.conf

末尾添加如下内容

TraceEnable off

注:路径或者为/etc/httpd/conf/httpd.conf


3、重启Apache

/usr/local/apache/bin/apachectl restart

4、测试

关闭前

telnet xxx.xxx.xxx.xx 8092
TRACE / HTTP/1.0
X-Test:abcde

结果会返回 200 OK

关闭后测试会返回 405 Method Not Allowed

HTTP/1.1 405 Method Not Allowed
Date: Thu, 08 Dec 2022 02:30:05 GMT
Server: Apache
Allow:
Content-Length: 348
Connection: close
Content-Type: text/html; charset=iso-8859-1
程序员大佬超
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
http TRACE 跨站攻击漏洞测试与防御修复
weixin_34273046的博客
03-04 2937
http TRACE 跨站攻击漏洞测试与防御修复apache关闭方法可以直接在配置文件http.conf添加TraceEnable off 关闭 有版本要求 好像是2.0以上在httpd.conf下搜索Global 在### Section 1: Global Environment下面加 TraceEnable off保存OK如何测试呢.这样在cmd下...
如何关闭http Methods中的Trace 提高安全意识
01-20
使用Nikto测试服务器,发现HTTP开启了trace方法。 TRACETRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决: 禁用这些方式。 在配置文件http.conf 添加 TraceEnable off 即可关闭
修复www服务trace漏洞
weixin_44144092的博客
06-07 205
修复spring boot项目中的www trace漏洞
TRACE Method 网站漏洞,你关闭了吗
大山里的人...
06-27 1104
链接:http://java-er.com/blog/trace-method-apache/
apache 禁止tracetrack防止xss攻击
weixin_34218579的博客
11-12 890
TRACETRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。禁用trace可以使用rewrite功能来实现RewriteEngine OnRewriteCondi %{REQ...
关闭Apache服务器的TRACE请求
hzjhss的博客
09-03 404
如何关闭Apache服务器的TRACE请求?
apache 关闭TRACE请求,禁止跨站攻击(XSS攻击)
最新发布
qq_25096749的博客
06-08 436
详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html。注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理。2、apache禁止tracetrack防止xss攻击。1、什么事XSS攻击。
undertow 远端WWW服务支持TRACE请求漏洞修复
LOOPY_Y的博客
05-19 1154
undertow 远端WWW服务支持TRACE请求漏洞,复现方法和修复方法
Nginx反向代理
飞云钰哥
08-07 495
server { listen 8015; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { proxy_pass http:/...
Apache服务器关闭TRACE Method请求方式的方法
01-20
如何关闭Apache的TRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部...
DHL Track and Trace-crx插件
04-04
语言:Deutsch,English,Français DHL选择要跟踪。 通过contextmenu直接将您带到您需要的信息。 你经常在互联网上买东西吗? 您是否对将跟踪ID从交货确认邮件中复制粘贴到DHL网站感到烦恼? 此扩展使此问题成为过去!...
J-TRACE/ETM
09-07
STM32 IAR环境下使用J-TRACE进行调试跟踪。指令跟踪,需要通过可选的嵌入式跟踪宏单元(ETM),本文描述了ETM 使用方法,并提供了源码。
HTTP TRACE / TRACK Methods Allowed 漏洞修复
热门推荐
bwlab的博客
04-27 1万+
在httpd.conf添加TraceEnable off
HTTP TRACE / TRACK Methods Allowed 问题修复
qq_37716298的博客
04-26 2207
HTTP TRACE / TRACK Methods Allowed问题修复 import org.apache.catalina.Context; import org.apache.tomcat.util.descriptor.web.SecurityCollection; import org.apache.tomcat.util.descriptor.web.SecurityConstraint; import org.springframework.boot.SpringApplication;
IIS 部署的应用禁用HTTP TRACE / TRACK方法【原理扫描】
tone1128的博客
07-13 4073
远程Web服务器支持TRACE和/或TRACK方法。TRACETRACK是用于调试Web服务器连接的HTTP方法。
springboot项目解决www的trace漏洞
碎片令人怀念的的博客
08-25 5288
最近公司一直对安全方面抓的较紧,今天需要升级fastjson的漏洞,明天升级组件中引用的jackson漏洞,还有跨域等,这里针对项目中的一个www攻击trace漏洞的解决进行记录下: 1、首先应用部署到linux环境后,检查trace漏洞用如下命令: curl -i -s -k -X $'TRACE' \ -H $'Host: 10.11.10.11:9801' -H $'Pragma: no-cache' -H $'Cache-Control: no-cache' -H $'DNT: 1' .
如何关闭和测试Apache服务器的TRACE请求
向技术大牛致敬
02-20 3517
TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 TRACETRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息关闭Apache的TRACE...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员大佬超

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值