预防http Trace方法跨站攻击

最新推荐文章于 2024-06-08 08:02:26 发布
最新推荐文章于 2024-06-08 08:02:26 发布
阅读量5.3k 收藏 1
点赞数 2
分类专栏: Apache Http Server 文章标签: apache 浏览器 server 服务器 web 脚本

方法一:

Apache版本大于2.2,在httpd.conf中添加以下一段即可:

TraceEnable off(建议使用的方法,简单明了,唯一需要注意apache的版本)

方法二:

如果一台 Web Server 支持 Trace 和 / 或 Track 方式,那么它一定存在跨站脚本漏洞,将有可能受到跨站攻击。 Trace 和 Track 是用来调试 Web 服务器连接的 HTTP 方式。

我们通常在描述各种浏览器缺陷的时候,把“Cross-Site-Tracing”(跨站攻击)简称为 XST。

攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

解决方案:禁用 Trace 和 / 或 Track 方式。

针对 Apache,可以借助 mod_rewrite 模块来禁止 HTTP Trace 请求。只要在各虚拟主机的配置文件里添加如下语句:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* – [F]

需要在安装apache的时候编译mod_rewrite 。

方法三:(未测试)

另外可以这么做:
SetEnvIfNoCase Request_Method ^(TRACE|TRACK) IS_TRACE
<Directory /dir>
Order Allow,Deny
Allow from all
Deny from env=IS_TRACE
</Directory>


xxfigo
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全|跨站请求伪造(CSRF)——攻击实现与防御的代码实现【ustc-web信息安全实践课程实验三】
m0_37714470的博客
12-23 1228
实验要求:在zoobar网站上展示并防御CSRF攻击。请注意在防御时的粒度问题,防止所有人的token都一样;以及刷新太快,正常操作都失败。 一、实现CSRF攻击 前提: 我的myzoo网站的存储目录是:/home/web/myzoo 【大多数人的应该是/var/www/myzoo】 (一)攻击站点建立 1、在/home/web下建立html/csrf1.html,在csrf1.html完成攻击...
安全编码实践之二:跨站脚本攻击防御
04-09 392
声明:本文由Bypass整理并翻译,仅用于安全研究和学习之用。 文章来源:https://medium.com/bugbountywriteup/how-to-write-secure-code-b2757b59cd4b 如何编写安全代码?保护自己免受跨站脚本攻击! 过去几个月我一直致力于安全代码实践,我一直在努力与社区讨论易于采用的方法。我们每天看到的不安全代码的数量确...
apache 关闭TRACE请求,禁止跨站攻击(XSS攻击
最新发布
qq_25096749的博客
06-08 392
详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html。注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理。2、apache禁止trace或track防止xss攻击。1、什么事XSS攻击
允许trace方法_Go: Trace包探秘
weixin_39845347的博客
12-03 448
本文基于Go 1.13。Go为我们提供了一个工具,可在运行时启用跟踪并获得程序执行的详细视图。借助trace软件包,可以通过测试的标识-trace启用此工具,从pprof进行实时跟踪,或者在我们的代码中的任何地方启用此工具。该工具功可以更强大,因为你可以使用自定义traces对其进行增强。让我们回顾一下它的工作原理。流程该工具的流程非常简单。每个事件,例如内存分配;垃圾收集器的所有阶段;Go标准库...
解决远端www服务支持TRACE请求的几种方式
qq_44691484的博客
05-31 8399
trace问题
如何防止http TRACE 跨站***
weixin_34414196的博客
12-09 189
什么是跨站***?如果一台webserver支持TRACE 和/或 TRACK 方式,那么它一定存在跨站脚本漏洞,将有可能受到跨站***。 TRACE和TRACK是用来调试Web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。***者可以利用此漏洞欺骗合法用户并得到他们的私人...
如何关闭http Methods中的Trace 提高安全意识
01-20
使用Nikto测试服务器,发现HTTP开启了trace方法TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 ...
Apache服务器关闭TRACE Method请求方式的方法
01-20
支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭ApacheTRACE请求 •虚拟主机用户...
TIA博途中的TRACE功能具体使用方法示例.docx
11-19
本文将详细介绍TIA博途中的TRACE功能,这是一种强大的诊断工具,可以帮助用户实时监控PLC程序的运行状态,定位并解决潜在问题。 TRACE功能的主要目的是通过图形化的方式展示程序执行过程中的数据变化,从而帮助...
node.js中的console.trace方法使用说明
10-25
主要介绍了node.js中的console.trace方法使用说明,本文介绍了console.trace方法说明、语法、接收参数、使用实例和实现源码,需要的朋友可以参考下
如何防止http TRACE 跨站攻击
jiony
12-15 1391
      什么是跨站攻击?如果一台webserver支持TRACE 和/或 TRACK 方式,那么它一定存在跨站脚本漏洞,将有可能受到跨站攻击TRACE和TRACK是用来调试Web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决...
Web安全之跨站脚本攻击漏洞
qq_52358808的博客
09-25 1041
跨站脚本(XSS)漏洞 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS 。恶意攻击者往 Web ⻚⾯⾥插⼊恶意 JavaScript代码,当⽤户浏览该⻚之时,嵌⼊ Web ⻚⾯⾥的代码会被执⾏,从⽽达到恶意攻击⽤户的⽬的。 常见类型 反射性XSS:payload经过后端,不经过数据库 存储型XSS:payload经过后端,经过数据库 DOM型XSS:payload不经过后端..
web漏洞-远端WWW服务支持TRACE请求
热门推荐
qq_35578446的博客
06-13 1万+
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。
远端WWW服务支持TRACE请求
龙卷风摧毁停车场
02-23 2144
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击
http TRACE 跨站攻击漏洞测试与防御修复
weixin_34273046的博客
03-04 2926
http TRACE 跨站攻击漏洞测试与防御修复apache关闭方法可以直接在配置文件http.conf添加TraceEnable off 关闭 有版本要求 好像是2.0以上在httpd.conf下搜索Global 在### Section 1: Global Environment下面加 TraceEnable off保存OK如何测试呢.这样在cmd下...
HTTP的请求常用方法
伟迷不正的博客
12-10 1556
HTTP的请求常用方法:
每日漏洞 | 不安全的HTTP方法
03-12 1017
HTTP认为的那些不安全的HTTP方法中,安全界认为PUT、DELETE、TRACE是不安全的,另外WebDAV中的几个方法,RFC 5789中的PATCH方法也被认为是不安全的。不过要注意的是,在验证PUT和DELETE的时候,不要在原有资源上进行操作,一定要指定一个不存在的资源,比如先PUT一个文件上去,然后DELETE刚才创建的文件,只要证明支持不安全的HTTP方法即可,那我们将OPTIONS方法修改为TRACE方法试试,如果响应包主体中包含接收到的请求,则证明支持TRACE方法,系统存在漏洞。
远端WWW服务支持TRACE请求(渗透测试复现及修改)
qq_42449510的博客
07-30 8805
关闭TRACE方法一、TRACE漏洞信息漏洞描述漏洞危害二、验证方法1.1 配置Java 环境变量1.2 安装Burp Suite1.3 使用Burp suite测试三、关闭TRACE请求 一、TRACE漏洞信息 漏洞描述 目标WEB服务器启用了TRACE方法TRACE方法HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(XSS)攻击,这种攻击方式又称
修补网络安全漏洞之Apache HTTPD中禁用跟踪
wangli的博客
11-18 1716
一、背景介绍       apachehttpd web服务器默认开启了httptrace与track方法,这些方法是存在安全风险的,它们会产生跨站点跟踪问题。HTTP TRACK方法是微软编写的,与TRACE的功能基本相同,除了渗透测试人员,黑客,蠕虫和漏洞扫描程序之外,它从未被使用过。      XSS漏洞是一种低风险漏洞,是全球网络中最常见的漏洞之一。这个问题至少从1990年开始出现...
http TRACE 跨站攻击
06-13
为了防止HTTP TRACE跨站攻击,最简单的方法是禁用TRACE方法。可以通过在服务器上配置相关设置来实现。另外,还可以在网站中使用X-XSS-Protection和Content-Security-Policy等安全头来增强网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值