备案控制台
开发者社区 开发与运维 文章 正文

http TRACE 跨站攻击漏洞测试与防御修复

2019-03-04 5214
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: php、apache、http trace、 跨站攻击
http TRACE 跨站攻击漏洞测试与防御修复
apache关闭方法可以直接在配置文件http.conf添加TraceEnable off 关闭 有版本要求 好像是2.0以上
在httpd.conf下搜索Global 在
### Section 1: Global Environment
下面加 TraceEnable off
保存OK

如何测试呢.这样
在cmd下输入
telnet 127.0.0.1 80
然后在黑屏状态下输入
TRACE / HTTP/1.0
Host: foo
在添加TraceEnable off之前,应返回
HTTP/1.1 200 OK
Date: Sat, 20 Oct 2007 20:39:36 GMT
Server: Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07)
Connection: close
Content-Type: message/http
TRACE / HTTP/1.0
Host: foo
Any text entered here will be echoed back in the response
Connection closed by foreign host.

在添加TraceEnable off之后,应返回

HTTP/1.1 403 Forbidden
Date: Sat, 20 Oct 2007 20:38:31 GMT
Server: Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07)
Content-Length: 320
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML(link) PUBLIC "-//IETF//DTD HTML(link) 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
<hr>
<address>Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07) Server at foo Port 80</address>
</body></html>
Connection closed by foreign host.
至此,可通过安全测试
文章标签:
PHP
测试技术
Apache
安全
Ruby
关键词:
测试修复
HTTP攻击
HTTP测试
测试http
HTTP防御
brick.wan
目录
相关文章
海风极客
|
3月前
|
JSON 搜索推荐 网络协议
玩转curl指令—测试简单的HTTP接口
玩转curl指令—测试简单的HTTP接口
海风极客
69 0
阿萨聊测试
|
4月前
阿萨聊测试:如何用Postman查看HTTP消息相关内容?
阿萨聊测试:如何用Postman查看HTTP消息相关内容?
阿萨聊测试
65 0
阿萨聊测试:如何用Postman查看HTTP消息相关内容?
opensca社区
|
10天前
|
供应链 安全 开发者
供应链投毒预警:恶意Py包伪装HTTP组件开展CStealer窃密后门攻击
近日(2024年4月25号),悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获1起CStealer窃密后门投毒事件,投毒者连续发布6个不同版本的恶意Py包multiplerequests,目标针对windows平台python开发者,该恶意包在安装时会远程加载CStealer后门到受害者系统上执行,该后门会窃取受害者系统敏感信息、主流浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏等。此外,后门还会尝试驻留Windows系统启动目录实现开机自启动。
opensca社区
20 0
供应链投毒预警:恶意Py包伪装HTTP组件开展CStealer窃密后门攻击
魏红斌
|
12天前
|
弹性计算 运维 监控
监控 HTTP 服务器的状态(测试返回码)
【4月更文挑战第28天】
魏红斌
8 0
XPcode7
|
17天前
|
缓存 安全
HTTP.SYS漏洞(MS_15_034)漏洞发现与防护
通过nmap扫描发现80端口开放,后续使用msfconsole确认了MS_15_034(HTTP.SYS)漏洞的存在,攻击模块触发目标服务器蓝屏。随后进行漏洞加固,禁用IIS缓存,经msf攻击验证,加固措施有效,服务器未受影响。
XPcode7
13 0
梦中千秋
|
18天前
Swagger基本使用与RestTemplate发送http接口测试
Swagger基本使用与RestTemplate发送http接口测试
梦中千秋
20 1
阿萨聊测试
|
4月前
|
API 数据安全/隐私保护
如何使用Postman 测试Https 网站?
如何使用Postman 测试Https 网站?
阿萨聊测试
105 0
阿萨聊测试
|
4月前
|
数据采集 测试技术 网络安全
阿萨聊测试 ZAP3:如何测试HTTPS的Web网站?
阿萨聊测试 ZAP3:如何测试HTTPS的Web网站?
阿萨聊测试
45 0
阿萨聊测试 ZAP3:如何测试HTTPS的Web网站?
阿萨聊测试
|
4月前
|
测试技术
HTTP性能测试工具Siege 简介
HTTP性能测试工具Siege 简介
阿萨聊测试
41 0
parish
|
4月前
|
监控 搜索推荐 定位技术
HTTP状态码:如何修复 404 Not Found错误?
互联网上各种类型的网站非常多,无论用户还是网站运营者不可避免的会遇到404 Not Found错误,如果遇到404错误,我们应该如何解决呢?
parish
35 1

热门文章

最新文章

  • 1
    阿里云服务器配置免费https服务
  • 2
    阿里云SSL证书配置(HTTPS证书配置)
  • 3
    免费的HTTPS证书
  • 4
    解决跨域和https不能访问的问题
  • 5
    nginx配置https访问
  • 6
    Tomcat详解(七)——Tomcat使用https配置实战
  • 7
    MongoDB性能最佳实践:如何制定更有效的基准测试?
  • 8
    网络原理(5)--HTTPS是如何进行加密的
  • 9
    深入理解自动化测试框架Selenium的设计与实现
  • 10
    如何入门做物联网系统压测?
  • 1
    HTTP协议基本原理简介(三)
    21
  • 2
    HTTP协议基本原理简介(二)
    31
  • 3
    视觉智能平台常见问题之http转https便捷的转换如何解决
    21
  • 4
    Qt 5.14.2 网络编程揭秘:构建高效HTTP客户端与文件下载器
    82
  • 5
    DataWorks报错问题之写入数据时报‘http.client.ResponseNotReady’如何解决
    47
  • 6
    性能工具之 Jmeter 使用 HTTP 请求编写 HLS 脚本
    81
  • 7
    HTTP协议基本原理简介(一)
    19
  • 8
    探索HTTP/3.0:下一代网络协议的前沿
    49
  • 9
    建立HTTP代理IP池的技术和工具支持
    51
  • 10
    https跳过SSL认证时是不是就是不加密的,相当于http?
    127

    • 相关课程

    更多
  • Java Web开发-Web应用、Tomcat、HTTP请求与响应
  • 云安全基础课- HTTP协议基础
  • MSE微服务测试最佳实践 - 自动化回归
  • 劫持发现、定位以及解决的最佳实践

    • 相关电子书

    更多
  • 阿里巴巴HTTP 2.0实践及无线通信协议的演进之路
  • CDN助力企业网站进入HTTPS时代
  • ICA安全标准组测试认证分享

    • 相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
  • 测试场景(RDS无优惠)
  • 极致弹性的PolarDB Serverless确保数据业务持续在线
  • 快速上手并跑通AnalyticDB PostgreSQL版TPC-H测试
  • 1分钟代码漏洞自动检测
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)