启用了TRACE 和TRACK HTTP 方法,如何禁用?
2018-01-30 10:56
1016 查看
http://wenku.baidu.com/view/557d761ea8114431b90dd873.html
http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)
http://blog.csdn.net/chamtianjiao/article/details/6268746
--------------------------------------------------------------------------------------------------
linux具体操作如下: 找到服务器配置文件
/etc/httpd/conf/httpd.conf
在文件最后一行加上 TraceEnable off
如果不行的话在 vhost.conf 也加上以上的指令,重启apache
/etc/init.d/httpd restart
或是在httpd.conf里面每一个visual host里面加以下的module(RrwriteEngine需要compiler)
RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]
这一点比较复杂visual host都加上…重启
/etc/init.d/httpd restart 稍后生效
--------------------------------------------------------------------------------------------------
如果一台 web Server 支持 Trace 和 / 或 Track 方式,那么它一定存在跨站脚本漏洞,将有可能受到跨站攻击。Trace 和 Track 是用来调试 Web 服务器连接的 HTTP 方式。
我们通常在描述各种浏览器缺陷的时候,把“Cross-Site-Tracing”(跨站攻击)简称为XST。
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决方案:禁用 Trace 和 / 或 Track 方式。
针对 Apache,可以借助 mod_rewrite 模块来禁止 HTTP Trace请求。只要在各虚拟主机的配置文件里添加如下语句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
补充其他 Web Server 的解决方案:
1、Microsoft IIS
使用 URLScan 工具禁用 HTTP Trace 请求,或者只开放满足站点需求和策略的方式。
2、Sun ONE Web Server releases 6.0 SP2 或者更高的版本:
在 obj.conf 文件的默认 object section 里添加下面的语句:
AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
3、Sun ONE Web Server releases 6.0 SP2 或者更低的版本:
编译如下地址的 NSAPI 插件:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50603
更多信息可以查看以下资料:
http://www.whitehatsec.com/press_releases/WH-PR-20030120.pdf http://archives.neohapsis.com/ar ...h/2003-q1/0035.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50603 http://www.kb.cert.org/vuls/id/867593
--------------------------------------------------------------------------------------------------
禁用 Domino HTTP 服务器的 Trace 方法
在最近客户提交的一份 安全 检查报告中,有一条是检测到 Domino HTTP 服务器启用了 Trace方法,可能存在安全漏洞。虽然在 IBM 技术 支持文档中宣称此处不存在安全漏洞,但也提供了禁用它的方法:
使用了 Internet 站点配置:在站点配置文档的配置标签页中,禁止 Trace 方法
未使用 Internet 站点配置:在 Notes.ini 中加入一行HTTPDisableMethods=TRACE
http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)
http://blog.csdn.net/chamtianjiao/article/details/6268746
--------------------------------------------------------------------------------------------------
linux具体操作如下: 找到服务器配置文件
/etc/httpd/conf/httpd.conf
在文件最后一行加上 TraceEnable off
如果不行的话在 vhost.conf 也加上以上的指令,重启apache
/etc/init.d/httpd restart
或是在httpd.conf里面每一个visual host里面加以下的module(RrwriteEngine需要compiler)
RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]
这一点比较复杂visual host都加上…重启
/etc/init.d/httpd restart 稍后生效
--------------------------------------------------------------------------------------------------
如果一台 web Server 支持 Trace 和 / 或 Track 方式,那么它一定存在跨站脚本漏洞,将有可能受到跨站攻击。Trace 和 Track 是用来调试 Web 服务器连接的 HTTP 方式。
我们通常在描述各种浏览器缺陷的时候,把“Cross-Site-Tracing”(跨站攻击)简称为XST。
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决方案:禁用 Trace 和 / 或 Track 方式。
针对 Apache,可以借助 mod_rewrite 模块来禁止 HTTP Trace请求。只要在各虚拟主机的配置文件里添加如下语句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
补充其他 Web Server 的解决方案:
1、Microsoft IIS
使用 URLScan 工具禁用 HTTP Trace 请求,或者只开放满足站点需求和策略的方式。
2、Sun ONE Web Server releases 6.0 SP2 或者更高的版本:
在 obj.conf 文件的默认 object section 里添加下面的语句:
AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
3、Sun ONE Web Server releases 6.0 SP2 或者更低的版本:
编译如下地址的 NSAPI 插件:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50603
更多信息可以查看以下资料:
http://www.whitehatsec.com/press_releases/WH-PR-20030120.pdf http://archives.neohapsis.com/ar ...h/2003-q1/0035.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50603 http://www.kb.cert.org/vuls/id/867593
--------------------------------------------------------------------------------------------------
禁用 Domino HTTP 服务器的 Trace 方法
在最近客户提交的一份 安全 检查报告中,有一条是检测到 Domino HTTP 服务器启用了 Trace方法,可能存在安全漏洞。虽然在 IBM 技术 支持文档中宣称此处不存在安全漏洞,但也提供了禁用它的方法:
使用了 Internet 站点配置:在站点配置文档的配置标签页中,禁止 Trace 方法
未使用 Internet 站点配置:在 Notes.ini 中加入一行HTTPDisableMethods=TRACE
相关文章推荐
- 启用了TRACE 和TRACK HTTP 方法,如何禁用?(转)
- [轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
- [轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
- [轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
- pcanywhere提示:host is busy 失去连接的一个解决方法 (MSSQL2005 如何启用/禁用xp_cmdshell )
- 启用 HTTP TRACE 方法
- 如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
- Apache安全加固--修复SSL/TLS弱密码漏洞(中危)和禁用TRACE/TRACK方法(高危)
- tomcat的安全配置(禁用http方法,部署多个应用,启用从安全cookie,指定错误页面和显示信息)
- 如何禁用不安全的http 关闭不需要的HTTP方法
- VMware Easy Install模式详细介绍:如何启用和禁用Easy Install模式(图文)-上【转载】
- Nginx如何禁用非法请求http
- 31. Ubuntu15.04系统中如何启用、禁用客人会话
- Win10系统如何关闭Aero Shake功能 win10系统禁用Aero Shake的设置方法
- "此页当前禁用指定的显示模式。请确保为当前用户启用了个性化设置"的解决方法
- [dotNET]如何启用WSE2.0的强大的Trace功能
- [dotNET]如何启用WSE2.0的强大的Trace功能
- Windows 8系统如何开启与禁用管理员账户方法
- 如何禁用和重新启用键盘上的”Windows”键
- Linux 有问必答:如何在wget中禁用HTTP转发