[CVE-2003-1567]主机支持TRACE漏洞,禁用方法

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

  • CVE-2003-1567 主机支持TRACE和/或TRACK方法。 TRACE和TRACK是HTTP用来调试web服务器连接的方法。
  • 加固建议 禁用TRACE / TRAC方法,参考如下:
  1. IIS下:IIS信息服务-web服务扩展:禁止"WebDAV;
  2. apache下:修改httpd.conf配置文件中"TraceEnable on"为"TraceEnable off"
  3. springboot
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {// 1
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addMethod("HEAD");
                collection.addMethod("PUT");
                collection.addMethod("DELETE");
                collection.addMethod("OPTIONS");
                collection.addMethod("TRACE");
                collection.addMethod("COPY");
                collection.addMethod("SEARCH");
                collection.addMethod("PROPFIND");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        //如果需要禁用TRACE请求,需添加以下代码:
        tomcat.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return tomcat;
    }

转载于:https://my.oschina.net/u/2464371/blog/3054342

你可能感兴趣的:([CVE-2003-1567]主机支持TRACE漏洞,禁用方法)