什么是跨站攻击?如果一台webserver支持TRACE 和/或 TRACK 方式,那么它一定存在跨站脚本漏洞,将有可能受到跨站攻击。 TRACE和TRACK是用来调试Web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决方案:禁用 Trace 和 / 或 Track 方式。
针对 Apache,可以借助 mod_rewrite 模块来禁止 HTTP Trace 请求。只要在各虚拟主机的配置文件里添加如下语句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
补充其他 Web Server 的解决方案:
1、Microsoft IIS
使用 URLScan 工具禁用 HTTP Trace 请求,或者只开放满足站点需求和策略的方式。
2、Sun ONE Web Server releases 6.0 SP2 或者更高的版本:
在 obj.conf 文件的默认 object section 里添加下面的语句:
<Client method="TRACE">
AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
</Client>
3、Sun ONE Web Server releases 6.0 SP2 或者更低的版本:
编译如下地址的 NSAPI 插件:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603
更多信息可以查看以下资料:
http://www.whitehatsec.com/press_releases/WH-PR-20030120.pdf
http://archives.neohapsis.com/ar ... h/2003-q1/0035.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603
http://www.kb.cert.org/vuls/id/867593
本文出自 “玩linux…做运维…集群..” 博客,请务必保留此出处http://scottlinn.blog.51cto.com/829656/737889
Tomcat配置如下
一个典型的配置如下:
<Connector port=”8080” protocol=”HTTP/1.1” maxThreads=”150”
connectionTimeout=”20000” redirectPort=”8443” allowTrace="false"
其它一些重要属性如下:
- acceptCount : 接受连接request的最大连接数目,默认值是10
- address : 绑定IP地址,如果不绑定,默认将绑定任何IP地址
- allowTrace : 如果是true,将允许TRACE HTTP方法
- compressibleMimeTypes : 各个mimeType, 以逗号分隔,如text/html,text/xml
- compression : 如果带宽有限的话,可以用GZIP压缩
- connectionTimeout : 超时时间,默认为60000ms (60s)
- maxKeepAliveRequest : 默认值是100
- maxThreads : 处理请求的Connector的线程数目,默认值为200
分享到:
相关推荐
trace32 simulator for ARM ,关于trace的使用,网上资料很少,这个很不错哦,绝对不会后悔。
TRACE32 调试手册 脚本及其应用 多核系统调试Trace32 高级语言调试(3)Trace32 基础配置与调试(2)
TRACE32-安装和使用 TRACE32-安装和使用
【Android 性能优化】应用启动优化 ( 方法追踪代码模板 | 示例项目 | SD 卡访问权限 | 示例代码 | 获取 Trace 文件 | Android Studio 查看文件) : https://blog.csdn.net/shulianghan/article/details/106893572 ; ...
qualcomm 平台开发,对于死机 hung up等需要使用trace32 在线调试,文档详细的讲解了使用trace32在线调试的经验技巧
TCPTRACE TCPTRACE 查看数据包工具
支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭Apache的TRACE请求 •虚拟主机用户...
tracepro课堂实例,不错的资料,适合自学的朋友!
tracepro 7.04照明设计软件下载完成后,解开压缩包,先安装TP704的主程序,安装完成后,在压缩包内有个Tracepro.exe的程序,你把它复制到你的安装目录下并覆盖。破解完成了。
使用 Trace32 对 FLASH 编程.doc 使用 Trace32 对 FLASH 编程.doc
http_trace
TracePro应用实例详解-压缩版(内容不变)
Trace32_ice Trace32_ice使用说明书
TRACE32模拟器的安装和使用.pdf TRACE32 install
引用步骤: 1.基于SpringBoot自动装配,引用jar包即可,坐标如下: ... <artifactId>feignextend ...[%date{yyyy-MM-dd HH:mm:ss.SSS}] [%X{traceId}] [%thread] %-5level %logger{80} %line - %msg%n</Pattern>
trace
VC调试以及TRACE()函数的用法1
TRACE32作为一种真正集成化、通用性系统仿真器可以组合成多种方案,可以支持网络方案、实验室单机方案、异地光纤方案等,它具有全模块化、积木式结构、可支持JTAG及BDM接口和所有CPU,能够提供软件分析、端口分析、...
chromium trace viewer使用的trace格式。TensorBoard中的Profiler插件生成的json文件,以及各大语言的trace模块生成的数据符合这个格式。
* TRACE基于white整体光照明模型,完成了对三维网格物体的光线跟踪, * * 可以对*.OFF文件表示的三维网格物体进行处理。编译此软件请确保您的计算机上 * * 有glut库相关文件(下载到http://www.xmission.com/~...