`
jiony
  • 浏览: 185163 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

如何防止http TRACE 跨站攻击

 
阅读更多

 

    什么是跨站攻击?如果一台webserver支持TRACE 和/或 TRACK 方式,那么它一定存在跨站脚本漏洞,将有可能受到跨站攻击。 TRACE和TRACK是用来调试Web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

解决方案:禁用 Trace 和 / 或 Track 方式。

针对 Apache,可以借助 mod_rewrite 模块来禁止 HTTP Trace 请求。只要在各虚拟主机的配置文件里添加如下语句:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F] 
补充其他 Web Server 的解决方案:

1、Microsoft IIS

使用 URLScan 工具禁用 HTTP Trace 请求,或者只开放满足站点需求和策略的方式。

2、Sun ONE Web Server releases 6.0 SP2 或者更高的版本:

在 obj.conf 文件的默认 object section 里添加下面的语句:

<Client method="TRACE">
AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
</Client> 
3、Sun ONE Web Server releases 6.0 SP2 或者更低的版本:

编译如下地址的 NSAPI 插件:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603

更多信息可以查看以下资料:
http://www.whitehatsec.com/press_releases/WH-PR-20030120.pdf
http://archives.neohapsis.com/ar ... h/2003-q1/0035.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603
http://www.kb.cert.org/vuls/id/867593

本文出自 “玩linux…做运维…集群..” 博客,请务必保留此出处http://scottlinn.blog.51cto.com/829656/737889

Tomcat配置如下

 

一个典型的配置如下:

<Connector port=”8080” protocol=”HTTP/1.1” maxThreads=”150” 
connectionTimeout=”20000” redirectPort=”8443” allowTrace="false"

其它一些重要属性如下:

  • acceptCount : 接受连接request的最大连接数目,默认值是10
  • address : 绑定IP地址,如果不绑定,默认将绑定任何IP地址
  • allowTrace : 如果是true,将允许TRACE HTTP方法
  • compressibleMimeTypes : 各个mimeType, 以逗号分隔,如text/html,text/xml
  • compression : 如果带宽有限的话,可以用GZIP压缩
  • connectionTimeout : 超时时间,默认为60000ms (60s)
  • maxKeepAliveRequest : 默认值是100
  • maxThreads : 处理请求的Connector的线程数目,默认值为200
分享到:
评论

相关推荐

    Apache服务器关闭TRACE Method请求方式的方法

    支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭Apache的TRACE请求 •虚拟主机用户...

    如何关闭http Methods中的Trace 提高安全意识

    支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决: 禁用这些方式。 在配置文件...

    TcpTrace-TCP的跟踪监听.zip_Windows编程_tcp

    7. **安全监控**:TCPTrace还能够帮助监控网络中的非法连接或攻击行为,例如扫描、拒绝服务攻击等。通过对TCP连接的实时监控,可以及时发现并处理潜在的安全风险。 8. **应用开发与调试**:对于开发网络应用程序的...

    win_tcptrace-6.2.0

    3. **安全审计**:监控网络中的异常连接,检测潜在的攻击行为,如SYN洪水攻击等。 4. **教学与研究**:在教学和科研环境中,win_tcptrace是理解TCP/IP协议工作原理的实用工具。 在具体操作win_tcptrace时,用户首先...

    网站常见漏洞及解决办法

    然而,如果一个Web服务器支持TRACE请求且没有正确配置,则可能会导致安全问题,如跨站追踪攻击(Cross-Site Tracing Attack),攻击者可以通过这种方式获取到其他用户的敏感信息。 **解决方案**: 1. **开启Apache...

    apache-tomcat-7.0.100防攻击版.zip

    4. 字符过滤:字符过滤是为了防止SQL注入、跨站脚本(XSS)等攻击。服务器可能会对输入数据进行严格的检查和转义,确保不包含可能导致代码执行的特殊字符。这可以通过使用预定义的过滤器或者自定义的输入验证规则...

    网站开发及服务器安全检测列表!

    5. **跨站脚本攻击(XSS)**: - 对所有输出到页面的内容进行转义,防止恶意脚本执行。 - 限制URL输出,仅允许以"http://"或"https://"开头。 - 避免动态生成标签,防止注入JavaScript代码。 - 不从外部网站加载...

    wvs安全工具

    WVS 可以通过检查 SQL 注入攻击漏洞、跨站脚本攻击漏洞等来审核你的 Web 应用程序。 WVS 工作流程: 1. 扫描整个网站:WVS 将会扫描整个网站,它通过跟踪站点上的所有链接和 robots.txt(如果有的话)而实现扫描。...

    Trace-It-crx插件

    检查`Referer`头可以帮助识别请求的来源,防止跨站请求伪造(CSRF)攻击;而`Cookie`头则与用户会话管理紧密相关,确保用户登录状态的正确维护。 对于不熟悉HTTP协议的初学者,Trace-It-crx插件也是一个很好的学习...

    计算机病毒与防护:HTTP协议基础上.ppt

    在计算机病毒防护方面,HTTP协议的理解也有助于识别和防止恶意请求,例如通过监控和分析HTTP请求来发现潜在的攻击行为,如跨站脚本攻击(XSS)或跨站请求伪造(CSRF)等。通过设置防火墙规则、使用安全套接层(SSL/...

    http协议自学手写笔记

    此外,对于POST请求,可以通过设置正确的Content-Type头来防止数据泄露,同时使用安全的HTTP头如X-XSS-Protection和Content-Security-Policy可以增强对跨站脚本攻击和内容安全的防护。 总之,HTTP协议是互联网通信...

    Web应用安全:HTTP协议GET和POST的使用区别文本.docx

    POST请求的安全性相对更高,因为它不将数据暴露在URL中,但仍然需要注意防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等安全问题。 在Web应用安全方面,理解GET和POST的使用差异至关重要,因为它们直接关系到数据...

    urlscan_v31.zip

    这种机制有效地防止了诸如SQL注入、跨站脚本攻击(XSS)等常见网络攻击。 URLScan的安装文件包括两个版本,"urlscan_v31_x64.msi"和"urlscan_v31_x86.msi",分别对应64位和32位的系统。安装过程简单,只需按照向导...

    HTTP Methods

    * 可以用来进行跨站脚本(XSS)攻击 * 危害:可以了解到网站前端的某些信息,进行 XSS 攻击,盗取会话 cookie、获取账户、模拟其他用户身份 * 建议:如非必要,请禁用 TRACE 方法 PUT 方法 * 将 body 上传至服务器...

    C# NET WEB 学习 源代码 Security.zip

    4. **跨站脚本攻击(XSS)** 防御:XSS攻击是一种常见的Web安全威胁,攻击者通过注入恶意脚本来窃取用户数据。C#提供了Anti-XSS库,如ASP.NET MVC的`HtmlHelper`类的`Encode`方法,用于自动转义输出,防止XSS攻击。 5...

    XX平台安全扫描问题解决方案.docx

    综上所述,解决XX平台安全扫描问题的关键在于加强会话管理、防止CSRF攻击、禁用不安全的HTTP方法以及确保数据传输的安全性。通过实施这些策略,可以显著提高Web应用的安全性,减少潜在的安全威胁。同时,持续的监控...

    http.zip_规范的包文

    - Content-Security-Policy:防止跨站脚本攻击(XSS)和其他恶意内容。 - HTTP-only Cookie:防止通过JavaScript访问Cookie,减少会话劫持风险。 7. HTTP状态码: - 1xx:信息性状态码,表示服务器已接收部分...

    Iframe js 和 flex 通讯

    确保发送和接收方都正确设置目标Origin以防止跨站脚本攻击。 ```javascript // js 代码 var iframe = document.getElementById('myIframe'); iframe.contentWindow.postMessage('Hello Flex', '...

Global site tag (gtag.js) - Google Analytics