不知道如何禁用ActiveMQ服务器的trace方法
ActiveMQ服务器启动后,用telnet xxx.xxx.xxx.xxx 61614 连接mq服务器,telnet加上ip和mq中配置的ws端口号,连接成功后,用下面命令测试
TRACE / HTTP/1.1
HOST: xxx.xxx.xxx.xxx
返回的结果为:
HTTP/1.1 200 OK
Content-Type: message/http
Content-Length: 39
Server: Jetty(7.6.9.vYYYYMMDD)
TRACE / HTTP/1.1
Host: 133.162.230.174从结果看,trace方法没有被禁用掉,请教各位大神帮帮忙?
该如何禁用trace方法
在jetty上跑的话改jetty的源码就行了
改jetty的源码就行了
关于这个漏洞具体的危害,可以了解一下“跨域”的概念,再结合HTTP TRACE 跨站攻击。
禁用的具体因不同的中间件而不同,你可以百度具体的中间件,如“ apache 禁用TRACE方法 ”,很容易找到的