springboot项目漏洞“远端WWW服务支持TRACE请求”解决

最新推荐文章于 2025-10-17 09:41:17 发布
原创 最新推荐文章于 2025-10-17 09:41:17 发布 · 3.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #java #服务器

该文展示了在低版本和高版本Springboot中如何配置Undertow,包括设置URL字符编码、Cookie值以及允许的HTTP方法,并添加安全约束。主要区别在于使用不同的容器工厂类和定制器接口。

项目中增加config类

  1. 低版本Springboot:

import io.undertow.UndertowOptions;
import io.undertow.servlet.api.SecurityConstraint;
import io.undertow.servlet.api.WebResourceCollection;
import org.springframework.boot.context.embedded.EmbeddedServletContainerFactory;
import org.springframework.boot.context.embedded.undertow.UndertowEmbeddedServletContainerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;

@Configuration
public class UndertowConfig {
    @Bean
    public EmbeddedServletContainerFactory embeddedServletContainerFactory() {
        UndertowEmbeddedServletContainerFactory factory = new UndertowEmbeddedServletContainerFactory();
        factory.addBuilderCustomizers(builder -> builder.setServerOption(UndertowOptions.ALLOW_UNESCAPED_CHARACTERS_IN_URL, Boolean.TRUE));
        factory.addBuilderCustomizers(builder -> builder.setServerOption(UndertowOptions.ALLOW_EQUALS_IN_COOKIE_VALUE, Boolean.TRUE));
        factory.addBuilderCustomizers(builder -> builder.setServerOption(UndertowOptions.ALLOW_ENCODED_SLASH, Boolean.TRUE));
        factory.addDeploymentInfoCustomizers(deploymentInfo -> {
            WebResourceCollection webResourceCollection = new WebResourceCollection();
            webResourceCollection.addUrlPattern("/*");
            webResourceCollection.addHttpMethod(HttpMethod.HEAD.toString());
            webResourceCollection.addHttpMethod(HttpMethod.PUT.toString());
            webResourceCollection.addHttpMethod(HttpMethod.PATCH.toString());
            webResourceCollection.addHttpMethod(HttpMethod.DELETE.toString());
            webResourceCollection.addHttpMethod(HttpMethod.OPTIONS.toString());
            webResourceCollection.addHttpMethod(HttpMethod.TRACE.toString());

            SecurityConstraint constraint = new SecurityConstraint();
            constraint.addWebResourceCollection(webResourceCollection);

            deploymentInfo.addSecurityConstraint(constraint);
        });
        return factory;
    }
}

  1. 高版本Springboot:

import io.undertow.UndertowOptions;
import io.undertow.servlet.api.SecurityConstraint;
import io.undertow.servlet.api.WebResourceCollection;
import org.springframework.boot.web.embedded.undertow.UndertowServletWebServerFactory;
import org.springframework.boot.web.server.WebServerFactoryCustomizer;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;

/**
 * @author zhanglei
 */
@Configuration
public class UndertowConfig implements WebServerFactoryCustomizer<UndertowServletWebServerFactory> {
    @Override
    public void customize(UndertowServletWebServerFactory factory) {
        factory.addBuilderCustomizers(builder -> builder.setServerOption(UndertowOptions.ALLOW_UNESCAPED_CHARACTERS_IN_URL, Boolean.TRUE));
        factory.addBuilderCustomizers(builder -> builder.setServerOption(UndertowOptions.ALLOW_EQUALS_IN_COOKIE_VALUE, Boolean.TRUE));
        factory.addBuilderCustomizers(builder -> builder.setServerOption(UndertowOptions.ALLOW_ENCODED_SLASH, Boolean.TRUE));
        factory.addDeploymentInfoCustomizers(deploymentInfo -> {
            WebResourceCollection webResourceCollection = new WebResourceCollection();
            webResourceCollection.addUrlPattern("/*");
            webResourceCollection.addHttpMethod(HttpMethod.HEAD.toString());
            webResourceCollection.addHttpMethod(HttpMethod.PUT.toString());
            webResourceCollection.addHttpMethod(HttpMethod.PATCH.toString());
            webResourceCollection.addHttpMethod(HttpMethod.DELETE.toString());
            webResourceCollection.addHttpMethod(HttpMethod.OPTIONS.toString());
            webResourceCollection.addHttpMethod(HttpMethod.TRACE.toString());

            SecurityConstraint constraint = new SecurityConstraint();
            constraint.addWebResourceCollection(webResourceCollection);

            deploymentInfo.addSecurityConstraint(constraint);
        });
    }
}
undertow 远端WWW服务支持TRACE请求漏洞修复
LOOPY_Y的博客
05-19 1805
undertow 远端WWW服务支持TRACE请求漏洞,复现方法和修复方法
SpringBoot历史漏洞复现
weixin_53747497的博客
04-01 8982
Spring框架为开发Java应用程序提供了全面的基础架构支持。它包含一些很好的功能,如依赖注入和开 箱即用的模块,如:Spring JDBC 、Spring MVC 、Spring Security、 Spring AOP 、Spring ORM 、 Spring Test,这些模块缩短应用程序的开发时间,提高了应用开发的效率例如,在Java Web开发的早 期阶段,我们需要编写大量的代码来将记录插入到数据库中。
Spring Boot开发中,HEAD、OPTIONS和 TRACE这些HTTP方法各有其特定的应用场景和实现方式
最新发布
TOOZOOY的博客
10-17 601
Spring Boot项目中:​​HEAD请求​​ 常用于高效地检查资源状态,Spring Boot通常为GET端点自动提供HEAD支持。​​OPTIONS请求​​ 对CORS至关重要,务必正确配置以确保Web应用的安全和正常运行。​​TRACE请求​​ 主要用于调试,生产环境应谨慎评估其安全性。希望这些实例能帮助你更好地理解和应用这些HTTP方法。如果你在实现过程中遇到具体问题,欢迎随时提出。
springboot项目解决wwwtrace漏洞
碎片令人怀念的的博客
08-25 5811
最近公司一直对安全方面抓的较紧,今天需要升级fastjson的漏洞,明天升级组件中引用的jackson漏洞,还有跨域等,这里针对项目中的一个www攻击trace漏洞解决进行记录下: 1、首先应用部署到linux环境后,检查trace漏洞用如下命令: curl -i -s -k -X $'TRACE' \ -H $'Host: 10.11.10.11:9801' -H $'Pragma: no-cache' -H $'Cache-Control: no-cache' -H $'DNT: 1' .
网站常见漏洞解决办法
09-29
远端WWW服务支持TRACE请求 解决方法: ①开启Apache 的mod_rewrite功能: 在Apahce的配置文件httpd.conf中把#LoadModule rewrite_module modules/mod_rewrite.so前的#去掉 在httpd.conf中找到下面这段 Options FollowSymLinks AllowOverride None 将AllowOverride None 改成 AllowOverride ALL 这样Apache的mod_rewrite就开启了。 ②在httpd.conf最后加上 RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] 禁用URL,返回403HTTP状态码
远端WWW服务支持TRACE请求
硅脂味咖啡的博客
11-23 1377
远端WWW服务支持TRACE请求
解决远端www服务支持TRACE请求的几种方式
qq_44691484的博客
05-31 1万+
trace问题
web漏洞-远端WWW服务支持TRACE请求
热门推荐
qq_35578446的博客
06-13 1万+
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。
修复www服务trace漏洞
weixin_44144092的博客
06-07 549
修复spring boot项目中的www trace漏洞
Springboot之actuato介绍及漏洞
hhcccchh的专栏
01-10 7708
Spring Boot Actuator可以帮助你监控和管理Spring Boot应用,比如健康检查、审计、统计和HTTP追踪等。所有的这些特性可以通过JMX或者HTTP endpoints来获得。 Actuator同时还可以与外部应用监控系统整合,比如 Prometheus, Graphite, DataDog, Influx, Wavefront, New Relic等。这些系统提供了非常好的...
Spring Boot异常处理静止trace
08-25
主要介绍了Spring Boot异常处理静止trace,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
远端WWW服务支持TRACE请求漏洞修复
jeremypeng01的博客
09-02 827
修改后:GEt请求正常访问,TRACE请求被拒绝。
远端www服务支持TRACE请求漏洞
juan_php_user的博客
09-26 2150
采用拦截器来过滤所有的trace请求->启动类增加配置来实现,或者和内嵌式tomcat一样直接添加Jetty配置类来实现也可以。在服务器漏扫中经常遇到"远端www服务支持TRACE请求"漏洞,绿盟扫描器所提供修复建议有不适用的情况。对已经处理过的不同应用禁用TRACE请求做一总结记录。注:在tomcat的在server.xml中先允许TRACE请求,再在web.xml中禁用TRACE,以此禁用TRACE请求.注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件。
远程WWW服务支持TRACE请求(tomcat漏洞修复及测试方案)
weixin_42740540的博客
06-10 5804
近期主机安全扫描除了安全漏洞,如图 看到该问题的第一思路,找到具体端口号对应的应用。主机配置httpd服务信息。最终发现主机上并未开启httpd服务。应用是基于tomcat发布的,并且为springboot的内嵌tomcat。意思就是说跟主机侧无关,需要调整应用侧代码。于是百度 tomcat传统形式通过配置web.xml达到禁止不安全的http方法 <security-constraint> <web-resource-collection...
远程WWW服务支持TRACE请求
zhangnana200的博客
09-27 6136
最近扫描项目所在的服务器发现一个漏洞,名称叫“远程WWW服务支持TRACE请求”,提供的解决办法没多大用处,只说是“管理员应禁用WWW服务TRACE请求支持”,但具体怎样做不太清楚,上网搜了一下,利用apache服务器的rewrite功能,对TRACE请求进行拦截,以下是解决办法。 详细描述 远端WWW服务支持TRACE请求。RFC 2616介绍了T
springboot项目怎么预防TRACK和TRACE请求漏洞
09-12
<think> 嗯,用户这次的问题很明确:如何在Spring Boot项目中预防TRACK和TRACE请求漏洞。从引用内容看,用户已经收集了相关资料,但需要系统化的解决方案。用户应该是企业的开发或运维人员,正在处理安全漏洞扫描报告,语气中透露出解决问题的紧迫性。 让我先梳理引用中的关键信息: 1. 引用[1]解释了漏洞本质:TRACE/TRACK方法可能被用于跨站追踪攻击窃取cookie 2. 引用[2]和[4]都指向Undertow服务器解决方案,但针对不同组件: - 普通Spring Boot应用可通过配置Undertow禁用这些方法 - Spring Cloud Gateway需要额外的WebFilter 3. 引用[3]的日志追踪插件虽然相关度不高,但提示了链路追踪的上下文 用户真正的需求是全面防御方案。我需要区分普通Web应用和网关场景,因为: - 普通应用用EmbeddedServletContainerCustomizer即可 - Gateway基于WebFlux需要响应式编程的过滤器 - 还需考虑测试验证环节 特别要注意引用[4]中的代码有个潜在问题:只拦截了TRACE没处理TRACK。HTTP规范中TRACK是TRACE的变体,需同时禁用。代码应该改为判断HttpMethod.TRACE或HttpMethod.TRACK。 安全措施必须完整,所以还要补充: 1. 所有方案都要返回403而非404,避免暴露无效端点信息 2. 强调生产环境必须通过curl测试 3. 提醒Spring MVC和WebFlux的拦截器差异 用户可能忽略测试步骤,需要明确给出curl命令示例。另外考虑到企业环境,应当提醒在API网关层统一拦截的方案,这比每个服务单独处理更高效。 </think> 在Spring Boot项目中预防TRACK和TRACE请求漏洞,需根据不同的技术栈(普通Web应用/Spring Cloud Gateway)采用以下方法: --- ### 方案一:普通Spring Boot应用(使用Undertow服务器) **1. 配置Undertow禁用HTTP方法** 在`application.yml`中显式指定允许的HTTP方法: ```yaml server: undertow: options: server: # 只允许GET, POST, PUT, DELETE, HEAD, OPTIONS allowed-methods: GET,POST,PUT,DELETE,HEAD,OPTIONS ``` **2. 验证配置** 执行命令测试(应返回`403 Forbidden`或`405 Method Not Allowed`): ```bash curl -X TRACE http://localhost:端口 curl -X TRACK http://localhost:端口 ``` --- ### 方案二:Spring Cloud Gateway(WebFlux响应式编程) **1. 创建全局过滤器拦截TRACE/TRACK** ```java @Component public class DisableTraceFilter implements WebFilter, Ordered { @Override public int getOrder() { return Ordered.HIGHEST_PRECEDENCE; // 最高优先级 } @Override public Mono<Void> filter(ServerWebExchange exchange, WebFilterChain chain) { HttpMethod method = exchange.getRequest().getMethod(); if (HttpMethod.TRACE.equals(method) || HttpMethod.TRACK.equals(method)) { exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN); return exchange.getResponse().setComplete(); // 直接阻断请求 } return chain.filter(exchange); } } ``` **2. 过滤器生效原理** - 通过`ServerWebExchange`获取请求方法类型 - 对`TRACE/TRACK`返回403状态码并终止请求链 - 其他方法正常放行(`chain.filter(exchange)`) --- ### 方案三:Spring MVC应用(传统Servlet) **添加Servlet过滤器** ```java @Bean public FilterRegistrationBean<HttpFilter> disableTraceFilter() { FilterRegistrationBean<HttpFilter> registration = new FilterRegistrationBean<>(); registration.setFilter(new HttpFilter() { @Override protected void doFilter(HttpServletRequest req, HttpServletResponse res, FilterChain chain) throws IOException, ServletException { if ("TRACE".equalsIgnoreCase(req.getMethod()) || "TRACK".equalsIgnoreCase(req.getMethod())) { res.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回403 return; } chain.doFilter(req, res); } }); registration.addUrlPatterns("/*"); return registration; } ``` --- ### 关键注意事项 1. **覆盖所有入口** 若项目同时使用Gateway和后端服务,需在**每层**都配置拦截 2. **测试完整性** 使用工具扫描验证(如Nessus, Burp Suite)确保无遗漏[^1][^2] 3. **Spring Boot版本兼容性** - Undertow配置方案适用于Spring Boot 2.0+ - WebFilter方案需Spring WebFlux支持Spring Cloud Gateway默认使用) 4. **生产环境验证** ```bash # 测试命令(预期结果:403) curl -i -X TRACE http://生产环境IP:端口/api ``` > **漏洞原理**:TRACE方法会返回客户端发送的原始请求头,攻击者可利用此反射恶意脚本盗取Cookie(跨站追踪攻击)[^1]。TRACK是TRACE的变种方法,同样存在风险。 --- ###
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值