远端WWW服务支持TRACE请求漏洞修复

xiaomai86

已于 2024-09-02 21:39:15 修改

阅读量662

点赞数 2

CC 4.0 BY-SA版权

文章标签： tomcat

于 2024-09-02 21:37:52 首次发布

本文链接：https://blog.youkuaiyun.com/jeremypeng01/article/details/141830903

漏洞详细截图

本文仅写出tomcat中该漏洞修复步骤

在tomcat的web.xml配置文件中，对不安全的方法进行拦截，禁用TRACE，HEAD，PUT，DELETE，OPTIONS请求方式：

<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
	  <http-method>DELETE</http-method>  
	  <http-method>HEAD</http-method>  
	  <http-method>OPTIONS</http-method>  
	  <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
</security-constraint>

在tomcat的在server.xml中先允许TRACE请求

<Connector port="8080" protocol="HTTP/1.1" 
		connectionTimeout="20000" 
		allowTrace="true"
        redirectPort="8443" />

验证结果

修改后：GEt请求正常访问，TRACE请求被拒绝。
在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

xiaomai86

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

远程WWW服务支持TRACE请求

草衣的博客

05-30

2万+

最近扫描项目所在的服务器发现一个漏洞，名称叫“远程WWW服务支持TRACE请求”，提供的解决办法没多大用处，只说是“管理员应禁用WWW服务对TRACE请求的支持”，但具体怎样做不太清楚，上网搜了一下，利用apache服务器的rewrite功能，对TRACE请求进行拦截，以下是解决办法。详细描述远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE

web漏洞-远端WWW服务支持TRACE请求

热门推荐

qq_35578446的博客

06-13

1万+

远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求，该请求典型地用于测试HTTP协议实现。

参与评论您还未登录，请先登录后发表或查看评论

远程WWW服务支持TRACE请求漏洞

huangbaokang的博客

04-30

3365

漏洞详细描述：远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求，该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求，结合其它浏览器端漏洞，有可能进行跨站脚本攻击，获取敏感信息，比如cookie中的认证信息，这些敏感信息将被用于其它类型的攻击。解决办法 1、停止Apache服务（以root权限登录） # cd /opt/IBM/H...

“远端www服务支持TRACE请求“漏洞

juan_php_user的博客

09-26

1901

采用拦截器来过滤所有的trace请求->启动类增加配置来实现，或者和内嵌式tomcat一样直接添加Jetty配置类来实现也可以。在服务器漏扫中经常遇到"远端www服务支持TRACE请求"漏洞，绿盟扫描器所提供修复建议有不适用的情况。对已经处理过的不同应用禁用TRACE请求做一总结记录。注:在tomcat的在server.xml中先允许TRACE请求，再在web.xml中禁用TRACE，以此禁用TRACE请求.注：可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件。

undertow 远端WWW服务支持TRACE请求漏洞修复

LOOPY_Y的博客

05-19

1661

undertow 远端WWW服务支持TRACE请求漏洞，复现方法和修复方法

远端WWW服务支持TRACE请求漏洞修复(linux)

edonzhon

03-04

7610

系统版本 CentOS Linux release 7.4.1708 (Core) 内核版本 Linux ngiosSvr 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux apache版本： 1.漏洞详情如下 2.修复方式：在httpd.conf的...

解决远端www服务支持TRACE请求的几种方式

qq_44691484的博客

05-31

1万+

trace问题

修复www服务trace漏洞

最新发布

weixin_44144092的博客

06-07

475

修复spring boot项目中的www trace漏洞

springboot项目解决www的trace漏洞

碎片令人怀念的的博客

08-25

5716

最近公司一直对安全方面抓的较紧，今天需要升级fastjson的漏洞，明天升级组件中引用的jackson漏洞，还有跨域等，这里针对项目中的一个www攻击trace漏洞的解决进行记录下： 1、首先应用部署到linux环境后，检查trace漏洞用如下命令： curl -i -s -k -X $'TRACE' \ -H $'Host: 10.11.10.11:9801' -H $'Pragma: no-cache' -H $'Cache-Control: no-cache' -H $'DNT: 1' .

网站常见漏洞及解决办法

09-29

#### 远端WWW服务支持TRACE请求 **问题描述**：在HTTP协议中，TRACE方法允许客户端从服务器获取请求消息的副本，主要用于调试目的。然而，如果一个Web服务器支持TRACE请求且没有正确配置，则可能会导致安全问题，如...

安全验证漏洞修复总结

11-17

安全验证漏洞修复总结 `

常见主机漏洞

weixin_45849370的博客

11-07

4468

1、openssh累积型漏洞高 cve-2017-10012 修复意见：升级版本至>=openssh-5.3p1-122.el6 2、NTP累积型漏洞高修复意见：稳定版请尽快安装ntp-4.2.8p4及以后版本开发版请尽快安装ntp-4.3.77及以后版本 3、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】中...

springboot项目漏洞“远端WWW服务支持TRACE请求”解决

coder_afly的博客

02-03

3552

springboot项目漏洞“远端WWW服务支持TRACE请求”解决

远端WWW服务支持TRACE请求

绅士jiejie的博客

11-23

1321

远端WWW服务支持TRACE请求

centos修复远端WWW服务支持TRACE请求

weixin_45618691的博客

12-01

856

centos修复远端WWW服务支持TRACE请求

远程WWW服务支持TRACE请求（tomcat漏洞修复及测试方案）

weixin_42740540的博客

06-10

5688

近期主机安全扫描除了安全漏洞，如图看到该问题的第一思路，找到具体端口号对应的应用。主机配置httpd服务信息。最终发现主机上并未开启httpd服务。应用是基于tomcat发布的，并且为springboot的内嵌tomcat。意思就是说跟主机侧无关，需要调整应用侧代码。于是百度 tomcat传统形式通过配置web.xml达到禁止不安全的http方法 <security-constraint> <web-resource-collection...

centos中远端WWW服务支持TRACE请求漏洞解决

wushi0101的专栏

01-29

4748

暂未进行验证第一个验证版本（未验证）（出处https://blog.youkuaiyun.com/wbryfl/article/details/79203315） linux具体操作如下：找到服务器配置文件　　/etc/httpd/conf/httpd.conf 　　在文件最后一行加上 TraceEnable off 　　如果不行的话在 vhost.conf 也加上以上的指令,重启apache 　　/...

远端WWW服务支持TRACE请求(渗透测试复现及修改)

qq_42449510的博客

07-30

1万+

关闭TRACE方法一、TRACE漏洞信息漏洞描述漏洞危害二、验证方法1.1 配置Java 环境变量1.2 安装Burp Suite1.3 使用Burp suite测试三、关闭TRACE请求一、TRACE漏洞信息漏洞描述目标WEB服务器启用了TRACE方法。TRACE方法是HTTP（超文本传输）协议定义的一种协议调试方法，该方法使得服务器原样返回任何客户端请求的内容（可能会附加路由中间的代理服务器的信息），由于该方法原样返回客户端提交的任意数据，因此，可用来进行跨站脚本（XSS）攻击，这种攻击方式又称

管理员应禁用WWW服务对TRACE请求的支持。

06-10

是的，为了防止攻击者利用 TRACE 请求方法进行跨站脚本攻击和其他类型的攻击，Web 服务器管理员应该禁用 WWW 服务对 TRACE 请求的支持。禁用 TRACE 请求方法的方法因 Web 服务器而异，但通常可以通过修改服务器配置文件或使用安全模块或插件来实现。同时，管理员还应该定期更新 Web 服务器软件以修复已知的漏洞，并采取其他安全措施，如使用 HTTPS 协议来保护敏感数据的传输。