遠端WWW服務支持TRACE請求
TOMCAT 在tomcat的web.xml配置文件中,對不安全的方法進行攔截,禁用TRACE,HEAD,PUT,DELETE,OPTIONS請求方式: 在tomcat的在server.xml中先允許TRACE請求,再在web.xml中禁用TRACE,以此禁用TRACE ...
原文:遠端WWW服務支持TRACE請求
漏洞描述 遠端WWW服務支持TRACE請求。RFC 介紹了TRACE請求,該請求典型地用於測試HTTP協議實現。攻擊者利用TRACE請求,結合其它瀏覽器端漏洞,有可能進行跨站腳本攻擊,獲取敏感信息,比如cookie中的認證信息,這些敏感信息將被用於其它類型的攻擊。 解決方法 管理員應禁用WWW服務對TRACE請求的支持。 IIS URLScan Apache Source Code Modific ...
2019-07-10 14:38 0 1334 推薦指數:
相關推薦
漏洞修復【遠端WWW服務支持TRACE請求】
漏洞名稱: 遠端WWW服務支持TRACE請求 解決方案: 在apache配置文件httpd.conf中ServerRoot下添加配置,重啟apache即可: TraceEnable off ...
"遠端www服務支持TRACE請求"驗證及修復(apache,Jetty,Tomcat)
在服務器漏掃中經常遇到"遠端www服務支持TRACE請求"漏洞,綠盟掃描器所提供修復建議有不適用的情況。對已經處理過的不同應用禁用TRACE請求做一總結記錄。 首先漏洞驗證: 模擬trace請求,假設報漏洞的端口是8081: 如果回顯為: 則該端口服務支持 ...
漏洞挖掘 | 遠程WWW服務支持TRACE請求
允許TRACE方法 漏洞描述 目標WEB服務器啟用了TRACE方法。TRACE方法是HTTP(超文本傳輸)協議定義的一種協議調試方法,該方法使得服務器原樣返回任何客戶端請求的內容(可能會附加路由中間的代理服務器的信息),由於該方法原樣返回客戶端提交的任意數據,因此,可用來進行跨站腳本(XSS ...
Apache支持TRACE請求漏洞處理方案
trace和get一樣是http的一種請求方法,該方法的作用是回顯收到的客戶端請求,一般用於測試服務器運行狀態是否正常。 該方法結合瀏覽器漏洞可能造成跨站腳本攻擊。修復方法如下: 編緝/etc/httpd/conf/httpd.conf在其尾部追加: 保存然后進入重啟 ...
trace與代碼跟蹤服務
首先開篇引用《MVC2 2 in action》里面一段關於這個跟蹤服務的話 When you called Trace.Write() in Web Forms, you were interacting with the Trace- Context class. This exists ...
TRACE請求引起的反射型XSS漏洞
HTTP定義了一組請求方法,以表明要對給定資源執行的操作。指示針對給定資源要執行的期望動作。 雖然他們也可以是名詞, 但這些請求方法有時被稱為HTTP動詞. 每一個請求方法都實現了不同的語義。其中,TRACE方法沿着到目標資源的路徑執行一個消息環回測試。 關於TRACE方法 客戶端發起一個請求 ...
HTTP與WWW服務
1、查看本地DNS緩存 2、查看本地hosts。 3、http 協議簡介 HTTP協議,全程HyperText Transfer Protocol,是超文本傳輸協議,是互聯網上應用最為廣泛的一種網絡協議。所有WWW都必須遵守這個標准,設計HTTP ...