(http trace 跨站攻擊漏洞測試與防禦修復)
linux具體操作如下: 找到伺服器配置檔案
在檔案最後一行加上 traceenable off
如果不行的話在 vhost.conf 也加上以上的指令,重啟apache
或是在httpd.conf裡面每乙個visual host裡面加以下的module(rrwriteengine需要compiler)
rewriteengine on rewritecond %^(trace|track) rewriterule .* – [f]
這一點比較複雜visual host都加上…重啟
/etc/init.d/httpd restart 稍後生效
如果一台 web server 支援 trace 和 / 或 track 方式,那麼它一定存在跨站指令碼漏洞,將有可能受到跨站攻擊。trace 和 track 是用來除錯 web 伺服器連線的 http 方式。
我們通常在描述各種瀏覽器缺陷的時候,把「cross-site-tracing」(跨站攻擊)簡稱為xst。
攻擊者可以利用此漏洞欺騙合法使用者並得到他們的私人資訊。
解決方案:禁用 trace 和 / 或 track 方式。
針對 apache,可以借助 mod_rewrite 模組來禁止 http trace請求。只要在各虛擬主機的配置檔案裡新增如下語句:
rewriteengine on
rewritecond % ^(trace|track)
rewriterule .* - [f]
補充其他 web server 的解決方案:
1、microsoft iis
使用 urlscan 工具禁用 http trace 請求,或者只開放滿足站點需求和策略的方式。
2、sun one web server releases 6.0 sp2 或者更高的版本:
在 obj.conf 檔案的預設 object section 裡新增下面的語句:
authtrans fn=「set-variable」
remove-headers=「transfer-encoding」
set-headers=「content-length: -1」
error=「501」
3、sun one web server releases 6.0 sp2 或者更低的版本:
更多資訊可以檢視以下資料:
…h/2003-q1/0035.html
禁用 domino http 伺服器的 trace 方法
在最近客戶提交的乙份 安全 檢查報告中,有一條是檢測到 domino http 伺服器啟用了 trace方法,可能存在安全漏洞。雖然在 ibm 技術 支援文件中宣稱此處不存在安全漏洞,但也提供了禁用它的方法:
使用了 internet 站點配置:在站點配置文件的配置標籤頁中,禁止 trace 方法
未使用 internet 站點配置:在 notes.ini 中加入一行httpdisablemethods=trace
如何關閉Apache伺服器的TRACE請求
trace method是http 超文字傳輸 協議定義的一種協議除錯方法,該方法會使伺服器原樣返回任意客戶端請求的任何內容。trace和track是用來除錯web伺服器連線的http方式。支援該方式的伺服器存在跨站指令碼漏洞,通常在描述各種瀏覽器缺陷的時候,把 cross site tracing...
linux ftp伺服器和svn伺服器
問問題 使用vsftpd linux 架設的ftp伺服器,如何解決向其中拷貝多層資料夾的檔案時出現的550錯誤?然後寫部落格 只研究技術的就不要看了 因為要為我的本本重灌系統,並且要重新對整個硬碟進行分割槽,我開始往我的實驗室中的電腦上備份東西 因為我的實驗室的電腦上是linux系統,我於是選擇使用...
web伺服器和ftp伺服器
web伺服器又稱網路伺服器,http伺服器 伺服器的精髓就是你想在我這看到東西,裡面放一堆網頁,你向我傳送請求,我就找找找,把網頁給你。web伺服器使用的協議是http https 客戶機叫http客戶端 瀏覽器就叫http客戶端 8uftp就叫ftp客戶端 每天都獲取位址,電腦上有dhcp客戶端 ...