浅谈“不安全的HTTP方法”

漏洞名称:

不安全的HTTP方法、危险的HTTP方法

描述:

不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 其他说明方式如图所示:

浅谈“不安全的HTTP方法”_第1张图片

检测条件:

已知Web网站IP地址及Web访问端口

Web业务正常运行

检测方法:

  1. 点击“开始”-“运行”,输入cmd并回车,运行nc.exe
  2. 输入nc.exe –nvv IP 端口 (其中IP和端口按实际情况填写,用空格隔开)
  3. 回车
  4. 在新行中输入如下一行,并回车

OPTIONS / HTTP/1.1

     5.观察返回结果中的Allow的方法列表

返回结果样例:

HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

X-Powered-By: Servlet 2.4; JBoss-4.0.5.GA (build: CVSTag=Branch_4_0 date=200610162339)/Tomcat-5.5

Allow: GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS

Content-Length: 0

Date: Mon, 29 Jun 2009 08:02:47 GMT

Connection: close

如果返回结果中包含不安全的HTTP方法(DELETE、PUT、TRACE、MOVE、COPY),则验证这些防范是否可用.

      6.如果方法可用则说明存在漏洞,如图所示为检测到的trace方法

浅谈“不安全的HTTP方法”_第2张图片

由于不同的Web服务器支持的HTTP协议版本不同,如果系统不支持HTTP/1.0,那么步骤4返回“HTTP/1.0 400 Bad Request”;这种情况下,应该更改步骤4的输入行为OPTIONS / HTTP/1.1

 

(使用OPTIONS方法列出服务器使用的HTTP方法。注意,不同目录中激活的方法可能各不相同。

许多时候,被告知一些方法有效,但实际上它们并不能使用。有时,即使OPTIONS请求返回的响应中没有列出某个方法,但该方法仍然可用。

手动测试每一个方法,确认其是否可用。)

漏洞修复:

以下为针对不安全的HTTP方法中的TRACE相关的修复建议::

1.中间件为apache服务器

利用apache服务器的rewrite功能,对TRACE请求进行拦截。编辑httpd.conf文件增加下面内容:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
更详细的解释如下:
LoadModule rewrite_module modules/mod_rewrite.so #  首先,激活rewrite模块
RewriteEngine On #  启用Rewrite引擎
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)  # 对Request中的Method字段进行匹配:^TRACE 即以TRACE字符串开头
RewriteRule .* - [F]   #   定义规则:对于所有格式的来源请求,均返回[F]-Forbidden响应。
对于1.3.34以上和2.0.55以上版本的apache服务器,配置文件增加:TraceEnable off
或者用如下方法:
在项目或tomcat下的web.xml中,添加如下配置:

	
        
                任意名称
                /*
                PUT
                DELETE
                HEAD
                OPTIONS
                TRACE
        
        
	
	
	BASIC

2.中间件为Microsoft IIS

如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE请求,
或者只开放满足站点需求和策略的方式。安装URLScan(URLScan是微软提供给IIS6的路径重定向工具,
在这里下载: 
http://www.iis.net/learn/extensions/working-with-urlscan/urlscan-3-reference),
在URLScan.ini中配置,只允许GET、HEAD和POST这三个常用命令(UseAllowVerbs=1)。

3.中间件为Sun ONE Web Server releases 6.0

如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句:

AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"

4.Sun ONE Web Server releases 6.0 SP2

如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更低的版本, 编译如下地址的NSAPI插件:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603

 

其他补充:

暂无

 

 

 

你可能感兴趣的:(Web安全之客户端攻击类)