什麼是跨站攻擊?如果一台webserver支援trace和/或 track 方式,那麼它一定存在跨站指令碼漏洞,將有可能受到跨站攻擊。 trace和track是用來除錯web
伺服器連線的http方式。支援該方式的伺服器存在跨站指令碼
漏洞,通常在描述各種瀏覽器缺陷的時候,把"cross-site-tracing"簡稱為xst。攻擊者可以利用此漏洞欺騙合法使用者並得到他們的私人資訊。
解決方案:禁用 trace 和 / 或 track 方式。
針對 apache,可以借助 mod_rewrite 模組來禁止 http trace 請求。只要在各虛擬主機的配置檔案裡新增如下語句:
rewriteengine on
rewritecond % ^(trace|track)
rewriterule .* - [f]
補充其他 web server 的解決方案:
1、microsoft iis
使用 urlscan 工具禁用 http trace 請求,或者只開放滿足站點需求和策略的方式。
2、sun one web server releases 6.0 sp2 或者更高的版本:
在 obj.conf 檔案的預設 object section 裡新增下面的語句:
authtrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
3、sun one web server releases 6.0 sp2 或者更低的版本:
編譯如下位址的 nsapi 外掛程式:
更多資訊可以檢視以下資料:
... h/2003-q1/0035.html
本文出自 「玩linux…做運維…集群..」 部落格,請務必保留此出處
tomcat配置如下
乙個典型的配置如下:
allowtrace="false"其它一些重要屬性如下:
預防http Trace方法跨站攻擊
方法一 apache版本大於2.2,在httpd.conf中新增以下一段即可 traceenable off 建議使用的方法,簡單明瞭,唯一需要注意apache的版本 方法二 如果一台 web server 支援 trace 和 或 track 方式,那麼它一定存在跨站指令碼漏洞,將有可能受到跨站攻...
php open basedir設定防止跨站
通過在 掛馬,進入到php的目錄,如果php開啟了scandir方法的話,可以直接通過目錄一級一級的像上面進入,此操作會造成很大的風險。下面給出php的木馬檔案 p 獲得外掛程式 formfooter end eval elseif act editfile end editfile elseif ...
防止CSRF跨站請求偽造
csrf cross site request forgery 跨站請求偽造,也被稱為 one click attack 或者session riding,通常縮寫為csrf或者xsrf,是一種對 的惡意利用。儘管聽起來像跨站指令碼 xss 但它與xss非常不同,xss利用站點內的信任使用者,而cs...