备案控制台

开发者社区

开发者社区开发与运维文章正文

http TRACE 跨站攻击漏洞测试与防御修复

2019-03-04 5201

版权

版权声明：

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： php、apache、http trace、跨站攻击

http TRACE 跨站攻击漏洞测试与防御修复
apache关闭方法可以直接在配置文件http.conf添加TraceEnable off 关闭有版本要求好像是2.0以上
在httpd.conf下搜索Global 在
### Section 1: Global Environment
下面加 TraceEnable off
保存OK

如何测试呢.这样
在cmd下输入
telnet 127.0.0.1 80
然后在黑屏状态下输入
TRACE / HTTP/1.0
Host: foo
在添加TraceEnable off之前,应返回
HTTP/1.1 200 OK
Date: Sat, 20 Oct 2007 20:39:36 GMT
Server: Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07)
Connection: close
Content-Type: message/http
TRACE / HTTP/1.0
Host: foo
Any text entered here will be echoed back in the response
Connection closed by foreign host.

在添加TraceEnable off之后,应返回

HTTP/1.1 403 Forbidden
Date: Sat, 20 Oct 2007 20:38:31 GMT
Server: Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07)
Content-Length: 320
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML(link) PUBLIC "-//IETF//DTD HTML(link) 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
<hr>
<address>Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07) Server at foo Port 80</address>
</body></html>
Connection closed by foreign host.
至此,可通过安全测试

文章标签：

PHP

测试技术

Apache

安全

Ruby

关键词：

测试http

HTTP测试

测试漏洞

HTTP攻击

HTTPS测试

brick.wan

目录

相关文章

海风极客

|

2月前

|

JSON 搜索推荐网络协议

玩转curl指令—测试简单的HTTP接口

玩转curl指令—测试简单的HTTP接口

海风极客

54 0 0

阿萨聊测试

|

3月前

阿萨聊测试：如何用Postman查看HTTP消息相关内容？

阿萨聊测试：如何用Postman查看HTTP消息相关内容？

阿萨聊测试

53 0 0

阿萨聊测试：如何用Postman查看HTTP消息相关内容？

小Lee

|

1天前

|

JSON 测试技术 API

Python的Api自动化测试使用HTTP客户端库发送请求

【4月更文挑战第18天】在Python中进行HTTP请求和API自动化测试有多个库可选：1) `requests`是最流行的选择，支持多种请求方法和内置JSON解析；2) `http.client`是标准库的一部分，适合需要低级别控制的用户；3) `urllib`提供URL操作，适用于复杂请求；4) `httpx`拥有类似`requests`的API，提供现代特性和异步支持。根据具体需求选择，如多数情况`requests`已足够。

小Lee

7 3 3

阿萨聊测试

|

3月前

|

API 数据安全/隐私保护

如何使用Postman 测试Https 网站？

如何使用Postman 测试Https 网站？

阿萨聊测试

76 0 0

阿萨聊测试

|

3月前

|

数据采集测试技术网络安全

阿萨聊测试 ZAP3：如何测试HTTPS的Web网站？

阿萨聊测试 ZAP3：如何测试HTTPS的Web网站？

阿萨聊测试

42 0 0

阿萨聊测试 ZAP3：如何测试HTTPS的Web网站？

阿萨聊测试

|

3月前

|

测试技术

HTTP性能测试工具Siege 简介

HTTP性能测试工具Siege 简介

阿萨聊测试

38 0 0

parish

|

3月前

|

监控搜索推荐定位技术

HTTP状态码：如何修复 404 Not Found错误？

互联网上各种类型的网站非常多，无论用户还是网站运营者不可避免的会遇到404 Not Found错误，如果遇到404错误，我们应该如何解决呢？

parish

31 1 1

简简单单做算法

|

4月前

|

算法计算机视觉异构计算

基于FPGA的图像坏点像素修复算法实现,包括tb测试文件和MATLAB辅助验证

基于FPGA的图像坏点像素修复算法实现,包括tb测试文件和MATLAB辅助验证

简简单单做算法

38 0 0

蓝易云

|

4月前

|

Java 测试技术持续交付

百度搜索：蓝易云【NetMock简介：简化 Java，Android和Kotlin多平台中的HTTP请求测试？】

使用NetMock，您可以在单元测试、集成测试和端到端测试中轻松地模拟和验证HTTP请求和响应，而无需实际发送请求到外部服务。这样可以提高测试的可靠性和可控性，并加快测试执行的速度。无论是在开发过程中还是在持续集成环境中，NetMock都可以帮助您更轻松地进行HTTP请求测试，提高代码质量和稳定性。

蓝易云

41 1 1

德迅云安全陈琦琦

|

4月前

|

存储安全算法

https 是否真的安全,https攻击该如何防护,https可以被抓包吗？如何防止呢?

https 是否真的安全,https攻击该如何防护,https可以被抓包吗？如何防止呢?

德迅云安全陈琦琦

95 4 4

热门文章

最新文章

阿里云服务器配置免费https服务

阿里云SSL证书配置（HTTPS证书配置）

免费的HTTPS证书

nginx配置https和直接访问静态文件的方式

nginx配置https访问

解决跨域和https不能访问的问题

一个脚本把系统升级到https

解决Error:All flavors must now belong to a named flavor dimension. Learn more at https://d.android.com

深入理解自动化测试框架Selenium的设计与实现

Tomcat详解（七）——Tomcat使用https配置实战

Swagger基本使用与RestTemplate发送http接口测试

Servlet 教程之 Servlet HTTP 状态码 3

Servlet 教程之 Servlet 服务器 HTTP 响应 3

Servlet 教程之 Servlet 客户端 HTTP 请求 2

http和https的区别！

TCP/IP、Http、Socket之间的区别

数据采集时使用HTTP代理IP效率不高怎么办？

【计算机协议】第一章——HTTP协议详解

什么是http状态码？

国外HTTP代理如何解决账号关联问题？

相关课程

更多

MSE微服务测试最佳实践 - 自动化回归

Java Web开发-Web应用、Tomcat、HTTP请求与响应

云安全基础课- HTTP协议基础

劫持发现、定位以及解决的最佳实践

相关电子书

更多

ICA安全标准组测试认证分享

MaxCompute基于BigBench标准的最新测试进展

用AI 高效测试移动应用

相关实验场景

更多

通过HTTPS加速网关快速部署网站加密

测试场景（RDS无优惠）

极致弹性的PolarDB Serverless确保数据业务持续在线

快速上手并跑通AnalyticDB PostgreSQL版TPC-H测试

1分钟代码漏洞自动检测

下一篇

部署LAMP环境（Alibaba Cloud Linux 3）