精华内容
下载资源
问答
  • HTTP TRACE / TRACK Methods Allowed 漏洞修复

    千次阅读 2019-11-26 14:38:40
    在httpd.conf添加 TraceEnable off 1

    这里写图片描述

    在httpd.conf添加

    TraceEnable off
    • 1

    这里写图片描述

    展开全文
  • apache 禁用TRACE / TRACK方法禁用方法本地测试过程课程分享: 禁用方法 在httpd.conf 中增加一行“TraceEnable off” 本地测试过程 通过telnet到HTTP的某个服务端口,进行测试,如下描述 (红色为需要输入的部分)。 ...

    apache 禁用TRACE / TRACK方法

    禁用方法

    在httpd.conf 中增加一行“TraceEnable off”

    本地测试过程

    通过telnet到HTTP的某个服务端口,进行测试,如下描述 (红色为需要输入的部分)。
    关闭前测试会返回200 OK:

    [root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
    Trying xxx.xxx.xxx.xxx...
    Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
    Escape character is '^]'.
    TRACE / HTTP/1.0
    X-Test:abcde
    HTTP/1.1 200 OK
    Date: Wed, 18 Jul 2012 06:49:19 GMT
    Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
    Connection: close
    Content-Type: message/http
    TRACE / HTTP/1.0
    X-Test: abcde
    Connection closed by foreign host.
    

    关闭后测试会返回405 Method Not Allowed:

    [root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
    Trying xxx.xxx.xxx.xxx...
    Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
    Escape character is '^]'.
    TRACE / HTTP/1.0
    X-Test:abcde
    HTTP/1.1 405 Method Not Allowed
    Date: Wed, 18 Jul 2012 06:50:05 GMT
    Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
    Allow:
    Content-Length: 223
    Connection: close
    Content-Type: text/html; charset=iso-8859-1
    X-Pad: avoid browser bug
    <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
    <html><head>
    <title>405 Method Not Allowed</title>
    </head><body>
    <h1>Method Not Allowed</h1>
    <p>The requested method TRACE is not allowed for the URL /.</p>
    </body></html>
    Connection closed by foreign host.
    

    课程分享:

    安利一门Python超级好课!
    扫码下单输优惠码【csdnfxzs】再减5元,比官网还便宜!
    安利一门Python超级好课!扫码下单输优惠码【csdnfxzs】再减5元,比官网还便宜!
    https://marketing.csdn.net/poster/109?utm_source=NEWFXDT

    展开全文
  • 先测试是否允许 Track/trace 请求 操作流程: 1.先打开windows的命令工具,开始进行如下测试↓↓↓↓↓↓↓ 测试方法: 通过telnet到HTTP的某个服务端口,进行测试,如下描述(红色为你要输入的部分)。 关闭前测试会...

    一.先测试是否允许 Track/trace 请求

    操作流程: 
    1.先打开windows的命令工具,开始进行如下测试↓↓↓↓↓↓↓
    测试方法:
    通过telnet到HTTP的某个服务端口,进行测试,如下描述(红色为你要输入的部分)。
    关闭前测试会返回200 OK:
    [root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
    Trying xxx.xxx.xxx.xxx...
    Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
    Escape character is '^]'.
    TRACE / HTTP/1.0
    X-Test:abcde
    HTTP/1.1 200 OK
    Date: Wed, 18 Jul 2012 06:49:19 GMT
    Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
    Connection: close
    Content-Type: message/http
    TRACE / HTTP/1.0
    X-Test: abcde
    Connection closed by foreign host.

    如果是关闭:

    关闭后测试会返回405 Method Not Allowed:================================================================
    注:windows已安装telnet客户端在吧  
    1).输入 【telnet xxx.xxx.xxx.xxx 80】点击回车
    2).输入【CTRL+]】点击回车,再点击回车
    3).输入【TRACE / HTTP/1.0】回车
    4).输入【X-Test: abcde】两次回车
    结束,看结果
    ================================================================
    2.如果返回就是405 Method not Allowed,说明测试结果为TRACK请求已关闭,无需进行任何操作
    3.如果返回是200 OK 。请继续如下操作。
    4.关闭Apache服务。
    5.请将文件httpd.conf文件复制到D:/PHPstudy/Apache/conf/中(先将原文件备份)
    6.重启Apache服务。重复第一步操作进行测试。

    二.关闭方式

    1.在.htaccess文件中添加如下代码过滤TRACE请求:

    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
    RewriteRule .* - [F]
    </IfModule>

    2.在httpd.conf尾部添加如下指令后重启apache:

    TraceEnable off

    三.其他遇到的问题

    1.telnet 无效指令,如图:

    解决办法:

    展开全文
  • 漏洞简介: 攻击者可以使用OPTIONS和Trace方法来枚举...禁止 Trace|Track|OPTIONS等方法。 作者做了几个地方的修改,现在一个一个列出来: 1. 修改.htaccess文件 在文件中添加代码如下: <IfModule mo...

    漏洞简介:

    攻击者可以使用OPTIONS和Trace方法来枚举服务器相关信息。

    修复建议:

    1.在服务器配置中禁止非常用的HTTP方法

    2.代码中只支持常见HTTP方法。

    处理方式:

    禁止 Trace|Track|OPTIONS等方法。

     

    作者做了几个地方的修改,现在一个一个列出来:

    1. 修改.htaccess文件

    在文件中添加代码如下:

    <IfModule mod_rewrite.c>
    	RewriteEngine on
    	RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
    	RewriteRule .* - [F]
    </IfModule>

    2.修改虚拟机的配置文件

    如下图,在虚拟机的Directory内添加 Rewrite 这个部分的代码

    <VirtualHost *:81>
        DocumentRoot ../htdocs
        ServerName default:81
        ErrorLog logs/default-error_log
    	
    	<Directory "../htdocs">
    		Options FollowSymLinks MultiViews
    		AllowOverride ALL
    		Order allow,deny 
    		allow from all
    		
    		RewriteEngine on
    		RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
    		RewriteRule .* - [F]
        </Directory>
    </VirtualHost>

    3. 修改httpd.conf文件

    在文件尾部添加如下指令

    TraceEnable off

    然后就可以了。具体是哪一步发挥的作用还不知道。。

    展开全文
  • 文章目录如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK前言测试应用是否允许HTTP TRACE禁用Spring Boot内置的Undertow的HTTP TRACE/TRACK参考文档 如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK 前言 ...
  • HTTP TRACE / TRACK Methods Allowed问题修复 import org.apache.catalina.Context; import org.apache.tomcat.util.descriptor.web.SecurityCollection; import org.apache.tomcat.util.descriptor.web.Security...
  • 服务器禁用TRACETRACK方法

    千次阅读 2020-05-08 10:01:09
    http://wenku.baidu.com/view/557d761ea8114431b90dd873.html ...http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)...
  • TRACETRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的...
  • http://wenku.baidu.com/view/557d761ea8114431b90dd873.html ... http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试
  • windows服务器。直接在文件最底部加TraceEnable off这段代码对吗?还是需要mod_rewrite模块禁用 具体怎么操作,百度上的太模糊了 ![图片说明](https://img-ask.csdn.net/upload/201811/06/1541497280_468559.png...
  • TRACETRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。***者可以利用此漏洞欺骗合法用户并得到他们的私人信息...
  • NVT: HTTP Debugging Methods (TRACE/TRACK) Enabled References cve: CVE-2003-1567 cve: CVE-2004-2320 cve: CVE-2004-2763 cve: CVE-2005-3398 cve: CVE-2006-4683 cve: CVE-2007-3008 cve: CVE-2008-7253 cve: ...
  • TRACE请求没听说过,网上没有具体测试方法,如果用其他方法测试,最大可能就是报405错误。最终想到的测试方法--反测,既然代码已经支持了POST请求,那么把POST请求也放入到tomcat的禁用请求类型中测试。看看POST请求...
  • 主要介绍了Spring Boot异常处理静止trace,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
  • 远程WWW服务支持TRACE请求

    千次阅读 2016-09-27 16:34:09
    最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务对TRACE请求的支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器...
  • 语言:Deutsch,English,Français DHL选择要跟踪。 通过contextmenu直接将您带到您需要的信息。 你经常在互联网上买东西吗? 您是否对将跟踪ID从交货确认邮件中复制粘贴到DHL网站感到烦恼? 此扩展使此问题成为过去!...
  • 语言:English,русский,українська 跟踪和跟踪国际包裹。 全球包裹跟踪器&Manager 您是否不能跟踪包裹? 我们有解决方案。 TrackTrace.delivery有助于查找和跟踪任何货件。 我们支持最受欢迎的...
  •  Server 支持 Trace 和 / 或 Track 方式,那么它一定存在跨站脚本漏洞,将有可能受到跨站攻击。TraceTrack 是用来调试 Web 服务器连接的 HTTP 方式。 我们通常在描述各种浏览器缺陷的时候,把“Cross-Site-...
  • 關閉Apache上的Trace / Track 漏洞

    千次阅读 2012-05-11 10:11:31
    關閉Apache上的Trace / Track 漏洞 作者:yoshie 日期:2009-12-11 字體大小: 小 中 大 剛剛跟法蘭克硬try 阿帕契漏洞 結果..終於結束了啊..原來是Nessus耍我們,真的是太雪特了啦... 要關閉Apache 上的 ...
  • 一个是adminServer端口, 这个升级...然后重新编译这个类, 在zk安装目录, 创建build/classes目录, 将编译好的类放入这个目录下, 重启服务, 现在zk的prometheus监控服务已经不支持trace访问了, 漏洞修复。 ...
  • DHL选择跟踪。直接通过contextmenu获取所需的信息。 您经常在互联网上购买商品吗?您是否对将跟踪ID从交货确认邮件中复制粘贴到DHL网站感到烦恼?此扩展使此问题成为过去!右键单击选定的跟踪ID:上下文菜单条目可...
  • 跟踪可以在配置文件(trace.config)的控制下实时打开或关闭。 您不需要重新启动。 因此,在代码中保留跟踪语句,以帮助诊断生产中的问题。 因为..... 跟踪可以限制为来自给定IP地址的请求。 这非常有价值,因为...
  • 下载http://www.iis.net/downloads/microsoft/urlscan http://blog.csdn.net/leejin_521/article/details/42772589 http://www.cnblogs.com/stragon/archive/2014/04/25/3689899.html 转载于:...
  • Efficiency and Privacy Enhancement for a Track and Trace System of RFID-based Supply Chains
  • trace命令和tracert命令的用途 matlab中的trace 怎么用的?trace命令和tracert命令的用途 matlab中的trace 怎么用的?相关问题:匿名网友:tracert /?Usage: tracert [-d] [-h maximum_hops] [-j host-list] [-w time...
  • 当您选择该承运人并添加瑞士邮政提供的 Track & Trace 追踪编号时,该追踪编号将直接链接至。 此链接将在发送给您的客户的货件确认电子邮件(如果已启用)以及当客户在其“我的帐户”区域的订单概览中单击“跟踪此...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 13,342
精华内容 5,336
关键字:

tracetrack