遠端WWW服務支持TRACE請求

本文轉載自查看原文 2019-07-10 14:38 1334 漏洞修復

漏洞描述
遠端WWW服務支持TRACE請求。RFC 2616介紹了TRACE請求，該請求典型地用於測試HTTP協議實現。攻擊者利用TRACE請求，結合其它瀏覽器端漏洞，有可能進行跨站腳本攻擊，獲取敏感信息，比如cookie中的認證信息，這些敏感信息將被用於其它類型的攻擊。

解決方法管理員應禁用WWW服務對TRACE請求的支持。

IIS

URLScan

Apache

Source Code Modification

Mod_Rewrite Module

RewriteEngine on
RewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 漏洞修復【遠端WWW服務支持TRACE請求】 "遠端www服務支持TRACE請求"驗證及修復(apache,Jetty,Tomcat) 漏洞挖掘 | 遠程WWW服務支持TRACE請求自己實現簡單Web服務器,支持GET POST請求 Jenkins部署maven項目到遠端服務器檢測到遠端rexec服務正在運行中本地GoLand編輯與調試遠端服務器上的代碼域名注冊域名解析域名綁定 dns服務器解析域名記錄的添加記錄類型含義@ www 訪問域名請求過程 RestTemplate 支持https請求 Golang微服務：Micro Trace使用opentracing jaeger