禁用HTTP跟踪/跟踪

最新推荐文章于 2025-02-21 09:58:23 发布
最新推荐文章于 2025-02-21 09:58:23 发布
阅读量3.6k 收藏
点赞数 2
分类专栏: 安全相关 文章标签: http python linux
文章仅用于技术分享,未经本人同意,禁止转载,且不得应用于商业模式
本文链接:https://blog.csdn.net/ximenjianxue/article/details/125963107
版权

一、漏洞描述

漏洞描述:

远程web服务器支持跟踪和/或跟踪方法。HTTP TRACE要求Web服务器将请求的内容回送给客户端。完整请求(包括HTTP标头,可包括cookie或身份验证数据等敏感信息)将在TRACE响应的实体主体中返回。该请求主要由开发人员用于测试和调试HTTP应用程序,并且在大多数Web服务器软件中默认可用。
修复建议:
禁用这些HTTP方法。

风险级别:中

CVE-2003-1567
CVE-2004-2320
CVE-2010-0386

二、处理

1、本次漏洞为现场环境使用Doris的http模块导致的,可执行如下验证:

curl -v -X TRACE -I http://localhost:8030
nmap -n -p8030 -sT --script http-methods,http-trace be_ip
cat /proc/BE_pid/status  //会看到TracerPid不为0,其值为附加它的父进程pid
#Linux下可直接使用telnet来测试是否有trace回显
curl -sIX TRACE $TARGET | awk 'NR==1 {print $2}'  //当结果为200时,存在风险;正常应该返回405或501

2、Doris部署BE后端时,会使用python的SimpleHTTPServer(生产环境不建议使用,它只实现了简单的安全性)或http.server模块(不建议生产)来快速实现web服务。以下是一个http-server示例:

# -*- coding: UTF-8 -*-
import time
import os
import sys
import urllib
from BaseHTTPServer import (HTTPServer, BaseHTTPRequestHandler)

def close_std_fd():
    f = open(os.devnull, 'w')
    sys.stdin = f
    sys.stdout = f
    sys.stderr = f

def daemon(func):
    pid = os.fork()
    if pid > 0:
        return
    os.setsid()
    pid = os.fork()
    if pid > 0:
        return
    os.chdir('/')
    os.umask(0)
    close_std_fd()
    func()



class MyHandler(BaseHTTPRequestHandler):
        def do_response(self):
                print(self.request)
                print("request path is %s" % self.path)   #
                print("request from ip  is %s" % self.client_address[0])
                url_path,url_pargs = urllib.splitquery(self.path)
                print("request url path is %s" %url_path) 
                print("request pargs is %s" %url_pargs)
                self.send_response(200)
                self.send_header('Content-type','text/html')
                self.end_headers()
                self.wfile.write("<h1>Device Static Content</h1>")
                return
        def do_GET(self):
                self.do_response()
        def do_POST(self):
                datas = self.rfile.read(int(self.headers['content-length']))
                print("post data is %s" %datas)
                print("post data type is %s" %type(datas))
                self.send_response(200)
                self.send_header('Content-type','text/html')
                self.end_headers()
                self.wfile.write("<h1>Device Static Content</h1>")


def run_server():
    server_address = ("", 99)
    server = HTTPServer(server_address, MyHandler)
    sa = server.socket.getsockname()
    print("sa is below")
    print(sa)
    print("Serving  on %s using port %s ..." %(sa[0], sa[1]))
    server.serve_forever()

if __name__ == '__main__':
    if "-d" in sys.argv:
        daemon(run_server)
    else:
        run_server()

官方示例:

import http.server
import socketserver

PORT = 8000

Handler = http.server.SimpleHTTPRequestHandler

with socketserver.TCPServer(("", PORT), Handler) as httpd:
    print("serving at port", PORT)
    httpd.serve_forever()

def run(server_class=HTTPServer, handler_class=BaseHTTPRequestHandler):
    server_address = ('', 8000)
    httpd = server_class(server_address, handler_class)
    httpd.serve_forever()

未找到处理办法,更多参看python.org述

3、基于上,更换doris的web为http或nginx来实现。在http和nginx上实现禁用trace。

注:欢迎成功实践的大佬、程序员指导,如何修复

三、附录

1)HTTP服务禁用TRACE跟踪:

vim /etc/httpd/conf/httpd.conf   //在文件最后一行加上
TraceEnable off
vim host.conf //也加上以上的指令,重启apache
/etc/init.d/httpd restart

#另外有经验表明,借助 mod_rewrite 模块可禁止 HTTP Trace请求。mod_rewrite.so模块默认位置在/usr/local/apache目录下;在httpd.conf配置文件中,LoadModule rewrite_module“/usr/local/apache/modules/mod_rewrite.so”可完成模块加载;然后我们可在httpd.conf文件或在各虚拟主机的配置文件里添加如下语句:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
#禁用Options方法:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]
#同时禁用Trace方法和Options方法
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]

2)Nginx禁用:PATCH|TRACE

if ($request_method ~ ^(PATCH|TRACE)$) { 
			return 405; 
		}

http{
	server{
		if ($request_method ~ ^(PATCH|TRACE)$) { 
			return 405; 
		}	
		location / {
			proxy_pass http://fedser32.stack.com:8080;
		}

		location ~ \.(gif|jpg|png)$ {
			root /data1;
		}

	}

	server {
                if ($request_method ~ ^(PATCH|TRACE)$) { 
                        return 405; 
                }
    		listen 8080;
    		root /data1/up1;

    		location / {
    		}
	}
}

3)IIS里禁用:

IIS7及更高版本:

appcmd.exe set config /section:requestfiltering /+verbs.[verb=‘TRACE’,allowed=‘false’]

IIS6:

REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters] “EnableTraceMethod”=dword:00000000

4.会话跟踪(Cookie存储)
m0_61086522的博客
07-21 1381
客户端打开与服务器的连接发出请求到服务器响应客户端请求的全过程称之为会话。理论是,一个用户的所有请求操作都应该属于同一个会话。Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再次请求该网站时,浏览器会把请求的网址连同该Cookie一同提交给服务器,服务器检查该Cookie,以此来辨认用户状态客户端。
HTTP/1.1与HTTP/2有什么区别?
u012525965的博客
10-16 1060
介绍超文本传输​​协议(HTTP)是一种应用协议,自1989年发明以来,它一直是事实上在万维网上进行通信的标准。从1997年发布HTTP/1.1到最近,对它的修改很少。协议。但是在2015年,重新构想的版本称为HTTP/2投入使用,它提供了几种减少延迟的方法,尤其是在处理移动平台以及服务器密集型图形和视频时。此后HTTP/2变得越来越流行,据估计,世界上约有三分之一的网站都支持HTTP/2。在这种...
漏洞修复之关闭 TRACE and/or TRACK methods
程序员大佬超的博客
12-13 1945
根据建议关闭 TRACE and TRACK methods。
如何关闭http Methods中的Trace 提高安全意识
01-20
使用Nikto测试服务器,发现HTTP开启了trace方法。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决: 禁用这些方式。 在配置文件http.conf 添加 TraceEnable off 即可关闭。
限制Doris端口访问,解决REST API漏洞
最新发布
docsz的博客
02-21 365
Doris端口,rest api漏洞修复
如何禁用 HTTP TRACE/TRACK
热门推荐
暴暴风的博客
11-09 1万+
远端WWW服务支持TRACE请求
IIS 部署的应用禁用HTTP TRACE / TRACK方法【原理扫描】
tone1128的博客
07-13 4661
远程Web服务器支持TRACE和/或TRACK方法。TRACE和TRACK是用于调试Web服务器连接的HTTP方法。
服务器禁用TRACE和TRACK方法
qq_38293154的博客
05-08 1万+
http://wenku.baidu.com/view/557d761ea8114431b90dd873.html http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)...
IIS上的项目网站关闭Http请求中的Trace和OPTIONS
XR1986687846的博客
12-29 4804
IIS上的项目网站关闭Http请求中的Trace和OPTIONS 目的:阻止一些注入漏洞。 方法一: 1、打开服务器IIS,在网站节点下选中相应网站,在右侧IIS下双击“请求筛选”,如图: 2、进入如图所示页面,选中tab标签的HTTP谓词,点击右侧“拒绝谓词”,填写Trace,确定即可,再添加拒绝谓词“OPTIONS”,确定即可。...
Node性能跟踪与稳定性优化
02-16
### Node.js性能跟踪与稳定性优化综合指南 #### 引言 在现代Web开发中,Node.js因其出色的非阻塞I/O模型以及事件驱动架构而备受青睐。然而,随着应用程序复杂度的增长,性能瓶颈和稳定性问题逐渐浮现。为了确保...
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭Apache的TRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
http跟踪工具
04-18
出现JS错误时,可通过此工具进行JS跟踪
HttpWatch经典Http请求跟踪工具
09-07
自带注册码,安装时候自动添加注册码,不用手动输入,使用方便便捷。
Spring Boot 2.2.X Actuator 用不了 HttpTrace 和 Tomcat Thread 解决方案
dsen726的博客
05-11 1164
一、前言 spring boot 2.2.x release note 说明: 1.1 HttpTrace: 由于Spring Boot Actuator使用HttpTrace消耗资源并不支持集群,在Spring Boot 2.2 Release Notes开始已经默认禁用了,要启用HTTP跟踪,实现HttpTraceRepository或AuditEventRepository重新打开这些功能。 1.2 Tomcat Thread: Spring Boot 2.2 Release Notes开始已经
Spring Security如何禁用TRACE和TRACK方法
云扬的博客
10-23 1072
本文介绍了如何在Spring Security中禁用`TRACE`和`TRACK`方法,并提供适用于Spring MVC和Spring WebFlux的配置示例
启用了TRACE 和TRACK HTTP 方法,如何禁用
weixin_34023863的博客
01-30 2188
2019独角兽企业重金招聘Python工程师标准>>> ...
Nginx反向代理
飞云钰哥
08-07 577
server { listen 8015; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { proxy_pass http:/...
CVE-2003-1567】springboot2,禁用TRACE和TRACK方法
xshnj的博客
07-06 1955
最近线上爆出CVE-2003-1567漏洞,经过一番查找,发现大多数介绍的都是springboot1如何禁用TRACE和TRACK方法,最后自己折腾出来了,分享一下吧`
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

羌俊恩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值