备案控制台

开发者社区开发与运维文章正文

http TRACE 跨站攻击漏洞测试与防御修复

2019-03-04 5381

版权

版权声明：

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： php、apache、http trace、跨站攻击

http TRACE 跨站攻击漏洞测试与防御修复
apache关闭方法可以直接在配置文件http.conf添加TraceEnable off 关闭有版本要求好像是2.0以上
在httpd.conf下搜索Global 在
### Section 1: Global Environment
下面加 TraceEnable off
保存OK

如何测试呢.这样
在cmd下输入
telnet 127.0.0.1 80
然后在黑屏状态下输入
TRACE / HTTP/1.0
Host: foo
在添加TraceEnable off之前,应返回
HTTP/1.1 200 OK
Date: Sat, 20 Oct 2007 20:39:36 GMT
Server: Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07)
Connection: close
Content-Type: message/http
TRACE / HTTP/1.0
Host: foo
Any text entered here will be echoed back in the response
Connection closed by foreign host.

在添加TraceEnable off之后,应返回

HTTP/1.1 403 Forbidden
Date: Sat, 20 Oct 2007 20:38:31 GMT
Server: Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07)
Content-Length: 320
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML(link) PUBLIC "-//IETF//DTD HTML(link) 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
<hr>
<address>Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07) Server at foo Port 80</address>
</body></html>
Connection closed by foreign host.
至此,可通过安全测试

文章标签：

PHP

测试技术

Apache

安全

Ruby

关键词：

HTTP测试

测试攻击

漏洞测试

测试漏洞

测试修复

brick.wan

目录

相关文章

GG2020gg

|

3月前

|

缓存移动开发安全

Web安全-HTTP响应拆分(CRLF注入)漏洞

Web安全-HTTP响应拆分(CRLF注入)漏洞

GG2020gg

202 1 1

众所周知

|

2月前

|

数据库连接 Go 数据库

Go语言中的错误注入与防御编程。错误注入通过模拟网络故障、数据库错误等，测试系统稳定性

本文探讨了Go语言中的错误注入与防御编程。错误注入通过模拟网络故障、数据库错误等，测试系统稳定性；防御编程则强调在编码时考虑各种错误情况，确保程序健壮性。文章详细介绍了这两种技术在Go语言中的实现方法及其重要性，旨在提升软件质量和可靠性。

众所周知

42 1 1

bruce_xiaowei

|

3月前

|

安全程序员网络安全

Kali渗透测试：对软件的溢出漏洞进行测试

Kali渗透测试：对软件的溢出漏洞进行测试

bruce_xiaowei

46 1 1

GG2020gg

|

3月前

|

缓存移动开发前端开发

HTTP请求走私漏洞原理与利用手段分析

HTTP请求走私漏洞原理与利用手段分析

GG2020gg

67 1 1

GG2020gg

|

4月前

|

缓存移动开发安全

Web安全-HTTP响应拆分(CRLF注入)漏洞

Web安全-HTTP响应拆分(CRLF注入)漏洞

GG2020gg

233 8 8

GG2020gg

|

4月前

|

缓存安全应用服务中间件

Web安全-HTTP Host头攻击

Web安全-HTTP Host头攻击

GG2020gg

186 7 8

GG2020gg

|

4月前

|

缓存安全应用服务中间件

Web安全-HTTP Host头攻击

Web安全-HTTP Host头攻击

GG2020gg

279 3 4

GG2020gg

|

4月前

|

安全 Java 应用服务中间件

渗透测试-JBoss 5.x/6.x反序列化漏洞

渗透测试-JBoss 5.x/6.x反序列化漏洞

GG2020gg

58 14 15

游客cxtb2yf2r55as

|

3月前

|

安全应用服务中间件网络安全

修复HTTPS升级后出现 Mixed Content: The page at 'https://xxx' was loaded over HTTPS, but requested an insecure frame 'http://xxx'. This request has been blocked; the content must be served over HTTPS. 的问题

修复HTTPS升级后出现 Mixed Content: The page at 'https://xxx' was loaded over HTTPS, but requested an insecure frame 'http://xxx'. This request has been blocked; the content must be served over HTTPS. 的问题

游客cxtb2yf2r55as

387 0 0

bruce_xiaowei

|

3月前

|

安全网络协议 Linux

Kali渗透测试：使用Armitage针对漏洞进行攻击

Kali渗透测试：使用Armitage针对漏洞进行攻击

bruce_xiaowei

93 0 0

热门文章

最新文章

如何给IP地址添加SSL证书（https）

内网/局域网IP地址申请https证书方法

信息检索和信息提取的区别原文出自[易百教程] 转载请保留原文链接: https://www.yiibai.com/geek/331046

Servlet+MySQL增删改查原文出自[易百教程] 转载请保留原文链接: https://www.yiibai.com/geek/1391

ip地址https证书免费试用—政企单位专用

单模和多模光纤电缆的区别原文出自[易百教程] 转载请保留原文链接: https://www.yiibai.com/geek/330968

HTTPS协议是**一种通过计算机网络进行安全通信的传输协议

免费泛域名https证书教程—无限免费续签

IP地址https证书免费申请教程

IP地址能否申请HTTPS证书？

LabVIEW MEMS电容式压力传感器测试系统

热敏电阻怎么进行性能测试？并以LabVIEW为例进行说明

论文介绍：MACHIAVELLI基准测试：衡量奖励与道德行为之间的权衡

LabVIEW无人机大气数据智能测试系统

LabVIEW高温摩擦磨损测试系统

LabVIEW伺服阀动静态测试系统

容器技术：优化软件测试流程的利器

LabVIEW开发自动读取指针式仪表测试系统

LabVIEW开发新型电化学性能测试设备

LabVIEW与Tektronix示波器实现电源测试自动化

相关课程

更多

MSE微服务测试最佳实践 - 自动化回归

Java Web开发-Web应用、Tomcat、HTTP请求与响应

云安全基础课- HTTP协议基础

劫持发现、定位以及解决的最佳实践

相关电子书

更多

用AI 高效测试移动应用

移动互联网测试到质量的转变

给ITer的技术实战进阶课-阿里CIO学院独家教材（四）

相关实验场景

更多

通过轻量消息队列（原MNS）主题HTTP订阅+ARMS实现自定义数据多渠道告警

通过HTTPS加速网关快速部署网站加密

灵活弹性的PolarDB Serverless确保数据业务持续在线

快速上手并跑通AnalyticDB PostgreSQL版TPC-H测试

1分钟代码漏洞自动检测

下一篇

开通oss服务