apache 禁用TRACE / TRACK方法,及测试过程

最新推荐文章于 2024-06-08 08:02:26 发布
最新推荐文章于 2024-06-08 08:02:26 发布
阅读量4.4k 收藏 3
点赞数 1
文章标签: apache web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zbr0418/article/details/108870635
版权

apache 禁用TRACE / TRACK方法

禁用方法

在httpd.conf 中增加一行“TraceEnable off”

本地测试过程

通过telnet到HTTP的某个服务端口,进行测试,如下描述 (红色为需要输入的部分)。
关闭前测试会返回200 OK:

[root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
Escape character is '^]'.
TRACE / HTTP/1.0
X-Test:abcde
HTTP/1.1 200 OK
Date: Wed, 18 Jul 2012 06:49:19 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
Connection: close
Content-Type: message/http
TRACE / HTTP/1.0
X-Test: abcde
Connection closed by foreign host.

关闭后测试会返回405 Method Not Allowed:

[root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
Escape character is '^]'.
TRACE / HTTP/1.0
X-Test:abcde
HTTP/1.1 405 Method Not Allowed
Date: Wed, 18 Jul 2012 06:50:05 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
Allow:
Content-Length: 223
Connection: close
Content-Type: text/html; charset=iso-8859-1
X-Pad: avoid browser bug
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>405 Method Not Allowed</title>
</head><body>
<h1>Method Not Allowed</h1>
<p>The requested method TRACE is not allowed for the URL /.</p>
</body></html>
Connection closed by foreign host.

课程分享:

安利一门Python超级好课!
扫码下单输优惠码【csdnfxzs】再减5元,比官网还便宜!
安利一门Python超级好课!扫码下单输优惠码【csdnfxzs】再减5元,比官网还便宜!
https://marketing.csdn.net/poster/109?utm_source=NEWFXDT

zbr0418
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACETRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭ApacheTRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
apache禁用PUT、DELETE、TRACE等危险方法
linwha1990的博客
09-30 5385
在httpd.conf中增加,只允许GET、POST、OPTIONS方法 <Location "/"> AllowMethods GET POST OPTIONS </Location> 重启apache systemctl restart httpd.service
apache 关闭TRACE请求,禁止跨站攻击(XSS攻击)
最新发布
qq_25096749的博客
06-08 386
详细介绍XST攻击 http://blog.sina.com.cn/s/blog_6f7ce4a40100nx9g.html。注意:apache 配置跨站攻击后无法再配置别名,否则会被当作跨站攻击来处理。2、apache禁止tracetrack防止xss攻击。1、什么事XSS攻击。
服务器禁用TRACETRACK方法
qq_38293154的博客
05-08 1万+
http://wenku.baidu.com/view/557d761ea8114431b90dd873.html http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)...
禁用Apache的Options和Trace方法
热门推荐
netuser1937的博客
12-19 1万+
禁用Apache的Options和Trace方法
关闭Apache服务器的TRACE请求
hzjhss的博客
09-03 387
如何关闭Apache服务器的TRACE请求?
Apache 禁用远端WWW服务支持TRACE请求
zhg13361的博客
11-24 522
【代码】Apache 禁用远端WWW服务支持TRACE请求。
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 9293
远端WWW服务支持TRACE请求
IIS 部署的应用禁用HTTP TRACE / TRACK方法【原理扫描】
tone1128的博客
07-13 3999
远程Web服务器支持TRACE和/或TRACK方法TRACETRACK是用于调试Web服务器连接的HTTP方法
Apache Jmeter 5.3 性能测试最新安装包
05-22
Apache JMeter是Apache组织开发的基于Java的压力测试工具。用于对软件做压力测试,它最初被设计用于Web应用测试,但后来扩展到其他测试领域。 它可以用于测试静态和动态资源,例如静态文件、Java 小服务程序、CGI ...
Centos7.4服务器安装apache及安装过程出现的问题解决方法
09-15
以上就是CentOS 7.4服务器安装Apache的详细步骤以及解决安装过程中可能出现的问题的方法。在进行服务器管理时,确保熟悉这些基本操作和故障排除技巧是非常重要的。遇到问题时,及时查阅相关文档,如`man httpd`或`...
apache隐藏版本号信息和关闭trace方法
06-20
apache隐藏版本号信息和关闭trace方法
关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法
暖风
01-05 2716
基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP X-Permitted-Cross-Domain-Policies缺失,会话Cookie中缺少HttpOnly属性,会话Cookie中缺少s
修补网络安全漏洞之Apache HTTPD中禁用跟踪
wangli的博客
11-18 1712
一、背景介绍       apache的httpd web服务器默认开启了http的tracetrack方法,这些方法是存在安全风险的,它们会产生跨站点跟踪问题。HTTP TRACK方法是微软编写的,与TRACE的功能基本相同,除了渗透测试人员,黑客,蠕虫和漏洞扫描程序之外,它从未被使用过。      XSS漏洞是一种低风险漏洞,是全球网络中最常见的漏洞之一。这个问题至少从1990年开始出现...
如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK
锐意工作室
09-11 1万+
文章目录如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK前言测试应用是否允许HTTP TRACE禁用Spring Boot内置的Undertow的HTTP TRACE/TRACK参考文档 如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK 前言 因为安全原因,需要禁用Spring Boot内置Web服务器的HTTP TRACE/TRACK方法。 Spring Boot版本:spring-boot:2.2.2.RELEASE 内置Web
azkaban的安全漏洞,禁用TRACE
dengwei_dw的专栏
05-19 1145
azkaban的安全漏洞: Sun Java System Application Server 7和7 2004Q2的默认设置可以启动HTTP TRACE路径, 更易于远程攻击者通过一个跨站追踪工具窃取cookies和验证信任, 该问题与CVE-2004-2763和CVE-2005-3398相关 参考azkaban的github https://github.com/azkaban/azkaban/pull/2044 https://github.com/azkaban/azkaban/pull/2
ApacheTrack/trace请求漏洞修补(关闭其请求类型并测试是否关闭)
向技术大牛致敬
03-21 5340
一.先测试是否允许 Track/trace 请求 操作流程: 1.先打开windows的命令工具,开始进行如下测试↓↓↓↓↓↓↓ 测试方法: 通过telnet到HTTP的某个服务端口,进行测试,如下描述(红色为你要输入的部分)。 关闭前测试会返回200 OK: [root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80 Trying xxx.xxx.xxx.xxx.....
HTTP TRACE / TRACK Methods Allowed 漏洞修复
a815616653的博客
11-26 4937
在httpd.conf添加 TraceEnable off 1
invalid content was found starting with element '{"http://maven.apache.org/pom/4.0.0":dependency}'. one of '{"http://maven.apache.org/pom/4.0.0":parent, "http://maven.apache.org/pom/4.0.0":packaging, "http://maven.apache.org/pom/4.0.0":name, "http://maven.apache.org/pom/4.0.0":description, "http://maven.apache.org/pom/4.0.0":url, "http://maven.apache.org/pom/4.0.0":prerequisites, "http://maven.apache.org/pom/4.0.0":issuemanagement, "http://maven.apache.org/pom/4.0.0":cimanagement, "http://maven.apache.org/pom/4.0.0":inceptionyear, "http://maven.apache.org/pom/4.0.0":mailinglists, "http://maven.apache.org/pom/4.0.0":developers, "http://maven.apache.org/pom/4.0.0":contributors, "http://maven.apache.org/pom/4.0.0":licenses, "http://maven.apache.org/pom/4.0.0":scm, "http://maven.apache.org/pom/4.0.0":organization, "http://maven.apache.org/pom/4.0.0":build, "http://maven.apache.org/pom/4.0.0":profiles, "http://maven.apache.org/pom/4.0.0":modules, "http://maven.apache.org/pom/4.0.0":repositories, "http://maven.apache.org/pom/4.0.0":pluginrepositories, "http://maven.apache.org/pom/4.0.0":dependencies, "http://maven.apache.org/pom/4.0.0":reports, "http://maven.apache.org/pom/4.0.0":reporting, "http://maven.apache.org/pom/4.0.0":dependencymanagement, "http://maven.apache.org/pom/4.0.0":distributionmanagement, "http://maven.apache.org/pom/4.0.0":properties}' is expected.
03-16
无效的内容,以元素'{"http://maven.apache.org/pom/4.0.0":dependency}'开头。其中一个期望的元素是'{"http://maven.apache.org/pom/4.0.0":parent, "http://maven.apache.org/pom/4.0.0":packaging, "http://maven.apache.org/pom/4.0.0":name, "http://maven.apache.org/pom/4.0.0":description, "http://maven.apache.org/pom/4.0.0":url, "http://maven.apache.org/pom/4.0.0":prerequisites, "http://maven.apache.org/pom/4.0.0":issuemanagement, "http://maven.apache.org/pom/4.0.0":cimanagement, "http://maven.apache.org/pom/4.0.0":inceptionyear, "http://maven.apache.org/pom/4.0.0":mailinglists, "http://maven.apache.org/pom/4.0.0":developers, "http://maven.apache.org/pom/4.0.0":contributors, "http://maven.apache.org/pom/4.0.0":licenses, "http://maven.apache.org/pom/4.0.0":scm, "http://maven.apache.org/pom/4.0.0":organization, "http://maven.apache.org/pom/4.0.0":build, "http://maven.apache.org/pom/4.0.0":profiles, "http://maven.apache.org/pom/4.0.0":modules, "http://maven.apache.org/pom/4.0.0":repositories, "http://maven.apache.org/pom/4.0.0":pluginrepositories, "http://maven.apache.org/pom/4.0.0":dependencies, "http://maven.apache.org/pom/4.0.0":reports, "http://maven.apache.org/pom/4.0.0":reporting, "http://maven.apache.org/pom/4.0.0":dependencymanagement, "http://maven.apache.org/pom/4.0.0":distributionmanagement, "http://maven.apache.org/pom/4.0.0":properties}'。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值