文档备案控制台

开发者社区开发与运维文章正文

http TRACE 跨站攻击漏洞测试与防御修复

2019-03-04 5608

版权

版权声明：

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： php、apache、http trace、跨站攻击

http TRACE 跨站攻击漏洞测试与防御修复
apache关闭方法可以直接在配置文件http.conf添加TraceEnable off 关闭有版本要求好像是2.0以上
在httpd.conf下搜索Global 在
### Section 1: Global Environment
下面加 TraceEnable off
保存OK

如何测试呢.这样
在cmd下输入
telnet 127.0.0.1 80
然后在黑屏状态下输入
TRACE / HTTP/1.0
Host: foo
在添加TraceEnable off之前,应返回
HTTP/1.1 200 OK
Date: Sat, 20 Oct 2007 20:39:36 GMT
Server: Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07)
Connection: close
Content-Type: message/http
TRACE / HTTP/1.0
Host: foo
Any text entered here will be echoed back in the response
Connection closed by foreign host.

在添加TraceEnable off之后,应返回

HTTP/1.1 403 Forbidden
Date: Sat, 20 Oct 2007 20:38:31 GMT
Server: Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07)
Content-Length: 320
Connection: close
Content-Type: text/html; charset=iso-8859-1
<!DOCTYPE HTML(link) PUBLIC "-//IETF//DTD HTML(link) 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
<hr>
<address>Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07) Server at foo Port 80</address>
</body></html>
Connection closed by foreign host.
至此,可通过安全测试

文章标签：

PHP

测试技术

Apache

安全

Ruby

关键词：

漏洞测试

HTTP测试

测试漏洞

测试攻击

测试修复

brick.wan

目录

相关文章

varin

|

4月前

|

安全 NoSQL Shell

web渗透-SSRF漏洞及discuz论坛网站测试

SSRF（服务器端请求伪造）是一种安全漏洞，攻击者可诱使服务端发起任意请求，进而探测或攻击内网系统。常用于端口扫描、访问内部服务、读取本地文件等。常见防御包括限制协议、域名和IP，但可通过302跳转、短地址等方式绕过。

varin

300 1 1

web渗透-SSRF漏洞及discuz论坛网站测试

蓝易云

|

7月前

|

Java 测试技术容器

Jmeter工具使用：HTTP接口性能测试实战

希望这篇文章能够帮助你初步理解如何使用JMeter进行HTTP接口性能测试，有兴趣的话，你可以研究更多关于JMeter的内容。记住，只有理解并掌握了这些工具，你才能充分利用它们发挥其应有的价值。+

蓝易云

1203 23 23

sysin

|

8月前

|

安全前端开发 Linux

Immunity CANVAS Professional 7.27 (macOS, Linux, Windows) - 渗透测试和漏洞利用平台

Immunity CANVAS Professional 7.27 (macOS, Linux, Windows) - 渗透测试和漏洞利用平台

sysin

247 3 3

Immunity CANVAS Professional 7.27 (macOS, Linux, Windows) - 渗透测试和漏洞利用平台

91HTTP代理

|

监控测试技术定位技术

HTTP代理IP响应速度测试方案设计与指标体系

随着数字化发展，网络安全、隐私保护及内容访问自由成为核心需求。HTTP代理因其技术优势成为热门选择。本文介绍HTTP代理IP响应速度测试方案，包括基础性能、稳定性、地理位置、实际应用、安全性测试及监控指标，推荐测试工具，并提供测试结果评估标准。

91HTTP代理

292 2 2

众所周知

|

数据库连接 Go 数据库

Go语言中的错误注入与防御编程。错误注入通过模拟网络故障、数据库错误等，测试系统稳定性

本文探讨了Go语言中的错误注入与防御编程。错误注入通过模拟网络故障、数据库错误等，测试系统稳定性；防御编程则强调在编码时考虑各种错误情况，确保程序健壮性。文章详细介绍了这两种技术在Go语言中的实现方法及其重要性，旨在提升软件质量和可靠性。

众所周知

235 1 1

bruce_xiaowei

|

安全程序员网络安全

Kali渗透测试：对软件的溢出漏洞进行测试

Kali渗透测试：对软件的溢出漏洞进行测试

bruce_xiaowei

214 1 1

bruce_xiaowei

|

安全 Linux 网络安全

Kali渗透测试：自动播放文件攻击

Kali渗透测试：自动播放文件攻击

bruce_xiaowei

251 0 1

bruce_xiaowei

|

Web App开发测试技术网络安全

Kali 测试：使用Burp Suite 对网络认证服务的攻击（一）

Kali 渗透测试：使用Burp Suite 对网络认证服务的攻击（一）

bruce_xiaowei

469 0 0

bruce_xiaowei

|

网络安全数据安全/隐私保护安全

Kali 测试：使用Burp Suite 对网络认证服务的攻击（二）

Kali 渗透测试：使用Burp Suite 对网络认证服务的攻击（二）

bruce_xiaowei

489 0 0

bruce_xiaowei

|

算法网络协议网络安全

Kali渗透测试：身份认证攻击

Kali渗透测试：身份认证攻击

bruce_xiaowei

434 0 0

热门文章

最新文章

【进阶Python】第九讲：单元测试之unittest

apifox实例应用-自动化测试用例for循环的使用

软件测试|web自动化测试神器playwright教程（一）

（ 转）性能测试--地铁模型分析

【入门思路】基于Python+Unittest+Appium+Excel+BeautifulReport的App/移动端UI自动化测试框架搭建思路

Kali渗透测试：使用工具Metasploit攻击操作系统（一）

Java中复制文件的效率测试

TestNG测试用例重跑详解及实践优化

号称最安全的特斯拉Model S，却因一个安全带在测试中两次出现问题

这是一个测试文章

HTTP协议中常见的状态码 ?

区分TCP/IP、HTTP、Socket三者的差异

做短信接口时，http接口和cmpp接口怎么选？

java之通过Http下载文件

WebSocket、Socket、TCP 和 HTTP 的差别与应用场景

HTTP请求方法、状态码以及消息报文结构详解

Django全栈实战：HTTP状态码与业务状态码的分层设计与实战应用

解读HTTP请求头参数

301重定向实现原理全面解析：从HTTP协议到SEO最佳实践

Unity开发中使用UnityWebRequest从HTTP服务器下载资源。

相关课程

更多

MSE微服务测试最佳实践 - 自动化回归

Java Web开发-Web应用、Tomcat、HTTP请求与响应

云安全基础课- HTTP协议基础

相关电子书

更多

移动互联网测试到质量的转变

给ITer的技术实战进阶课-阿里CIO学院独家教材（四）

F2etest — 多浏览器兼容性测试整体解决方案

相关实验场景

更多

通过轻量消息队列（原MNS）主题HTTP订阅+ARMS实现自定义数据多渠道告警

下一篇

附部署代码｜云数据库RDS 全托管 Supabase服务：小白轻松搞定开发AI应用