远端WWW服务支持TRACE请求

最新推荐文章于 2024-09-02 21:37:52 发布
最新推荐文章于 2024-09-02 21:37:52 发布
阅读量2.4k 收藏 5
点赞数
分类专栏: 安全安全 文章标签: CVE-1999-0351 TRACE springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanxilou/article/details/126025138
版权

详细描述:
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。

解决办法:
管理员应禁用WWW服务对TRACE请求的支持。

验证方法:

curl -v -X TRACE -I localhost:8081

存在漏洞的示意图
由于系统是Spring Boot 架构,因此加入配置类禁用 TRACE 请求。

package com.xxx.config;

import com.google.gson.Gson;
import lombok.extern.slf4j.Slf4j;
import org.apache.http.HttpStatus;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.context.WebApplicationContext;
import org.springframework.web.filter.OncePerRequestFilter;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.Set;

@Slf4j
@Configuration
public class SecurityFilterProxy extends OncePerRequestFilter {


    @Value("${report.securityFilter:true}")
    private boolean securityFilter;

    @Autowired
    WebApplicationContext applicationContext;

    private static List<String> urlList=new ArrayList<>();

    @Value("${access.control.notAllow.methods:trace}")
    private String NOT_ALLOW_METHODS;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
                                    FilterChain filterChain) throws ServletException, IOException {
        String requestUrl = request.getServletPath();
        log.info(requestUrl + "=requestUrl");
        if(securityFilter) {
            if((","+NOT_ALLOW_METHODS+",").indexOf(","+request.getMethod().toLowerCase()+",")>-1){
                response.setStatus(HttpServletResponse.SC_METHOD_NOT_ALLOWED);
                return ;
            }
        }
        super.doFilter(request, response, filterChain);
        return;
    }
}

再次验证:
在这里插入图片描述

web漏洞-远端WWW服务支持TRACE请求
qq_35578446的博客
06-13 1万+
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。
远程WWW服务支持TRACE请求
热门推荐
草衣的博客
05-30 2万+
最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务TRACE请求支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE
远端WWW服务支持TRACE请求漏洞修复(linux)
edonzhon
03-04 7563
系统版本 CentOS Linux release 7.4.1708 (Core) 内核版本 Linux ngiosSvr 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux apache版本: 1.漏洞详情如下 2.修复方式: 在httpd.conf的...
远端www服务支持TRACE请求“漏洞
juan_php_user的博客
09-26 1821
采用拦截器来过滤所有的trace请求->启动类增加配置来实现,或者和内嵌式tomcat一样直接添加Jetty配置类来实现也可以。在服务器漏扫中经常遇到"远端www服务支持TRACE请求"漏洞,绿盟扫描器所提供修复建议有不适用的情况。对已经处理过的不同应用禁用TRACE请求做一总结记录。注:在tomcat的在server.xml中先允许TRACE请求,再在web.xml中禁用TRACE,以此禁用TRACE请求.注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件。
vsftpd实现基于SSL的FTPS
u014644574的博客
07-21 5366
FTP:是一个用于在计算机网络上在客户端和服务器之间进行文件传输的应用层协议。 FTPS:是一种对常用的文件传输协议(FTP)添加传输层安全(TLS)和安全套接层(SSL)加密协议支持的扩展协议。 SFTP:是一种数据流(英语:Data stream)连线,提供文件访问、传输和管理功能的网络传输协议,即SSH文件传输协议。 vsftpd:是一个类Unix系统以及Linux上的FTP服务器软件。 1、查看自己服务器有没有安装vsftpd ...
远端WWW服务支持TRACE请求(渗透测试复现及修改)
qq_42449510的博客
07-30 1万+
关闭TRACE方法一、TRACE漏洞信息漏洞描述漏洞危害二、验证方法1.1 配置Java 环境变量1.2 安装Burp Suite1.3 使用Burp suite测试三、关闭TRACE请求 一、TRACE漏洞信息 漏洞描述 目标WEB服务器启用了TRACE方法。TRACE方法是HTTP(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(XSS)攻击,这种攻击方式又称
Apache服务器关闭TRACE Method请求方式的方法
01-20
如何关闭Apache的TRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部...
Spring Boot异常处理静止trace
08-25
主要介绍了Spring Boot异常处理静止trace,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。
06-10
TRACE 请求方法允许客户端查看请求在传输过程中对服务器端产生的影响,因此它通常用于测试和诊断。但是,TRACE 请求方法也可以被攻击者用于跨站脚本攻击和其他类型的攻击,因为它允许攻击者查看服务器响应并获取敏感...
远程WWW服务支持TRACE请求漏洞
huangbaokang的博客
04-30 3338
漏洞详细描述: 远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。 解决办法 1、停止Apache服务(以root权限登录) # cd /opt/IBM/H...
解决远端www服务支持TRACE请求的几种方式
qq_44691484的博客
05-31 1万+
trace问题
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
coder_afly的博客
02-03 3437
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
远端WWW服务支持TRACE请求漏洞修复
最新发布
jeremypeng01的博客
09-02 578
修改后:GEt请求正常访问,TRACE请求被拒绝。
centos修复 远端WWW服务支持TRACE请求
weixin_45618691的博客
12-01 832
centos修复 远端WWW服务支持TRACE请求
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冷小鱼

多谢鼓励,我会写更多的原创。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值