日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 综合教程 >内容正文

综合教程

启用了TRACE 和TRACK HTTP 方法,如何禁用?(转)

發布時間:2023/12/15 综合教程 47 生活家
生活随笔 收集整理的這篇文章主要介紹了 启用了TRACE 和TRACK HTTP 方法,如何禁用?(转) 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

首頁 > 安全 > 啟用了TRACE 和TRACK HTTP 方法,如何禁用?(轉)

啟用了TRACE 和TRACK HTTP 方法,如何禁用?(轉)

啟用了TRACE 和TRACK HTTP 方法,如何禁用?

http://wenku.baidu.com/view/557d761ea8114431b90dd873.html

http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html

http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻擊漏洞測試與防御修復)

http://blog.csdn.net/chamtianjiao/article/details/6268746
--------------------------------------------------------------------------------------------------
linux具體操作如下: 找到服務器配置文件
  /etc/httpd/conf/httpd.conf
  在文件最后一行加上 TraceEnable off
  如果不行的話在 vhost.conf 也加上以上的指令,重啟apache
  /etc/init.d/httpd restart
  或是在httpd.conf里面每一個visual host里面加以下的module(RrwriteEngine需要compiler)
  RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]
  這一點比較復雜visual host都加上…重啟
  /etc/init.d/httpd restart 稍后生效

--------------------------------------------------------------------------------------------------
如果一臺 web Server 支持 Trace 和 / 或 Track 方式,那么它一定存在跨站腳本漏洞,將有可能受到跨站攻擊。Trace 和 Track 是用來調試 Web 服務器連接的 HTTP 方式。

我們通常在描述各種瀏覽器缺陷的時候,把“Cross-Site-Tracing”(跨站攻擊)簡稱為XST。

攻擊者可以利用此漏洞欺騙合法用戶并得到他們的私人信息。

解決方案:禁用 Trace 和 / 或 Track 方式。

針對 Apache,可以借助 mod_rewrite 模塊來禁止 HTTP Trace請求。只要在各虛擬主機的配置文件里添加如下語句:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

補充其他 Web Server 的解決方案:

1、Microsoft IIS

使用 URLScan 工具禁用 HTTP Trace 請求,或者只開放滿足站點需求和策略的方式。

2、Sun ONE Web Server releases 6.0 SP2 或者更高的版本:

在 obj.conf 文件的默認 object section 里添加下面的語句:

AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"

3、Sun ONE Web Server releases 6.0 SP2 或者更低的版本:

編譯如下地址的 NSAPI 插件:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50603

更多信息可以查看以下資料:
http://www.whitehatsec.com/press_releases/WH-PR-20030120.pdf
http://archives.neohapsis.com/ar ...h/2003-q1/0035.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50603
http://www.kb.cert.org/vuls/id/867593

--------------------------------------------------------------------------------------------------

禁用 Domino HTTP 服務器的 Trace 方法

在最近客戶提交的一份 安全 檢查報告中,有一條是檢測到 Domino HTTP 服務器啟用了 Trace方法,可能存在安全漏洞。雖然在 IBM 技術 支持文檔中宣稱此處不存在安全漏洞,但也提供了禁用它的方法:

使用了 Internet 站點配置:在站點配置文檔的配置標簽頁中,禁止 Trace 方法
未使用 Internet 站點配置:在 Notes.ini 中加入一行HTTPDisableMethods=TRACE

總結

以上是生活随笔為你收集整理的启用了TRACE 和TRACK HTTP 方法,如何禁用?(转)的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。