HTTP Analyzer Std V2 抓包工具判断网站是否存在不安全的HTTP请求,TRACE等漏洞
[ 2016-10-11 11:29:00 | 作者: admin ]
p.s. 打开HTTPAnalyzer ,然后点菜单中 Actions -> http/https request builder ,操作如下图显示。
需要说明的是:虽然win服务器安装了urlscan,关闭了TRACE,但是测试中urlscan如果允许OPTIONS的时候,得到的参数还是允许TRACE,不清楚原因。扫描软件应该也是使用OPTIONS来判断,所以关闭了OPTIONS应该就扫描不出来了
禁止OPTIONS之后
1、服务器返回405不允许的方法,就是web服务器上直接不允许
2、服务器返回404的话,其实是urlscan做了禁止操作
需要说明的是:虽然win服务器安装了urlscan,关闭了TRACE,但是测试中urlscan如果允许OPTIONS的时候,得到的参数还是允许TRACE,不清楚原因。扫描软件应该也是使用OPTIONS来判断,所以关闭了OPTIONS应该就扫描不出来了
禁止OPTIONS之后
1、服务器返回405不允许的方法,就是web服务器上直接不允许
2、服务器返回404的话,其实是urlscan做了禁止操作
firefox的poster插件无法发送post请求的解决办法
[ 2016-10-10 16:08:24 | 作者: admin ]
前段时间想用poster发个post请求进行测试,发现死活发不出post请求去,parameters都填写了,只能用get方式传到相应的网站,最后没法子,用hackbar搞得。
当时就奇怪了,一个专业发http请求的firefox插件,咋不能发post请求?问了问公司的几个前端工程师,都没有会的。。。
今天又拿出来摆弄了一下,发现原来是需要将参数转一下,放到body里面去,poster并不会自动将parameters里面的参数加到请求的body里面去,需要手动生成发送数据,如下图,设置完parameters后需要点击body from parameters:
然后再发post请求就可以了。
当时就奇怪了,一个专业发http请求的firefox插件,咋不能发post请求?问了问公司的几个前端工程师,都没有会的。。。
今天又拿出来摆弄了一下,发现原来是需要将参数转一下,放到body里面去,poster并不会自动将parameters里面的参数加到请求的body里面去,需要手动生成发送数据,如下图,设置完parameters后需要点击body from parameters:
然后再发post请求就可以了。
AppScan修复漏洞:启用不安全的HTTP方法(TRACE,OPTIONS)
[ 2016-10-10 16:04:03 | 作者: admin ]
文章来源:http://www.cnblogs.com/lyuec/p/4245175.html
最近对于系统使用Appscan扫描出中危漏洞“启用不安全的HTTP方法,找了很多修复方法都不能达到效果。
漏洞截图:
漏洞描述:
危险级别
影响页面整个WEB页面。
简短描述
管理员在服务器安全配置上的疏忽,导致服务器上启用了不安全的HTTP方法。
详细描述
不安全的HTTP方法主要有PUT/DELETE/MOVE/COPY/TRACE,通过此类扩展方法,可能上传文件到服务器或删除服务器上的文件。
修补建议
禁止不必要的 HTTP 方法(动词TRACE)。
修复建议方案:
1、禁用WebDAV功能(IIS)
2、使用URLSCAN禁用OPTIONS和其他HTTP方法
执行步骤:
...
阅读全文…
最近对于系统使用Appscan扫描出中危漏洞“启用不安全的HTTP方法,找了很多修复方法都不能达到效果。
漏洞截图:
漏洞描述:
危险级别
影响页面整个WEB页面。
简短描述
管理员在服务器安全配置上的疏忽,导致服务器上启用了不安全的HTTP方法。
详细描述
不安全的HTTP方法主要有PUT/DELETE/MOVE/COPY/TRACE,通过此类扩展方法,可能上传文件到服务器或删除服务器上的文件。
修补建议
禁止不必要的 HTTP 方法(动词TRACE)。
修复建议方案:
1、禁用WebDAV功能(IIS)
2、使用URLSCAN禁用OPTIONS和其他HTTP方法
执行步骤:
...
阅读全文…
服务器启用了TRACE Method,禁用TRACE方法
[ 2016-10-10 16:02:49 | 作者: admin ]
http://wenku.baidu.com/view/557d761ea8114431b90dd873.html
http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html
http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)
http://blog.csdn.net/chamtianjiao/article/details/6268746
--------------------------------------------------------------------------------------------------
linux具体操作如下: 找到服务器配置文件
/etc/httpd/conf/httpd.conf
在文件最后一行加上 TraceEnable off
...
阅读全文…
http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html
http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)
http://blog.csdn.net/chamtianjiao/article/details/6268746
--------------------------------------------------------------------------------------------------
linux具体操作如下: 找到服务器配置文件
/etc/httpd/conf/httpd.conf
在文件最后一行加上 TraceEnable off
...
阅读全文…
安卓调谐器 3C Toolbox Pro v1.8.4 此软件是cpu降频好工具
[ 2016-10-08 11:14:27 | 作者: admin ]
这安卓调谐器3C Toolbox(Android Tuner)和系统调谐器出自同一个作者,集合了这作者几个软件的功能,看来又要成为一个神器了
Nginx平滑升级的详细操作方法
[ 2016-10-01 15:25:40 | 作者: admin ]
原文地址:1分钟搞定 Nginx 版本的平滑升级与回滚 https://www.cnblogs.com/youkanyouxiao/p/10468885.html
一、平滑升级概述
Nginx方便地帮助我们实现了平滑升级。其原理简单概括,就是:
(1)在不停掉老进程的情况下,启动新进程。
(2)老进程负责处理仍然没有处理完的请求,但不再接受处理请求。
(3)新进程接受新请求。
(4)老进程处理完所有请求,关闭所有连接后,停止。
这样就很方便地实现了平滑升级。一般有两种情况下需要升级Nginx,一种是确实要升级Nginx的版本,另一种是要为Nginx添加新的模块。
二、判断新版本是否兼容旧的配置文件
/usr/local/nginx-1.14.2/sbin/nginx -t
三、升级到新版本
cd /usr/local/nginx-1.12.2/sbin/
...
阅读全文…
一、平滑升级概述
Nginx方便地帮助我们实现了平滑升级。其原理简单概括,就是:
(1)在不停掉老进程的情况下,启动新进程。
(2)老进程负责处理仍然没有处理完的请求,但不再接受处理请求。
(3)新进程接受新请求。
(4)老进程处理完所有请求,关闭所有连接后,停止。
这样就很方便地实现了平滑升级。一般有两种情况下需要升级Nginx,一种是确实要升级Nginx的版本,另一种是要为Nginx添加新的模块。
二、判断新版本是否兼容旧的配置文件
/usr/local/nginx-1.14.2/sbin/nginx -t
三、升级到新版本
cd /usr/local/nginx-1.12.2/sbin/
...
阅读全文…
iftop 安装以及相关参数及说明 网络监控,流量监控
[ 2016-09-13 14:47:27 | 作者: admin ]
关于 Iftop
iftop 是类似于top的实时流量监控工具。主要用来显示本机网络流量情况及各相互通信的流量集合,如单独同那台机器间的流量大小,非常适合于代理服务器和iptables服务器使用
官方网站:http://www.ex-parrot.com/~pdw/iftop/
安装iftop
安装方法1、编译安装
如果采用编译安装可以到iftop官网下载最新的源码包。
安装前需要已经安装好基本的编译所需的环境,比如make、gcc、autoconf等。安装iftop还需要安装libpcap和libcurses。
CentOS上安装所需依赖包:
yum install flex byacc libpcap ncurses ncurses-devel libpcap-devel
Debian上安装所需依赖包:
...
阅读全文…
iftop 是类似于top的实时流量监控工具。主要用来显示本机网络流量情况及各相互通信的流量集合,如单独同那台机器间的流量大小,非常适合于代理服务器和iptables服务器使用
官方网站:http://www.ex-parrot.com/~pdw/iftop/
安装iftop
安装方法1、编译安装
如果采用编译安装可以到iftop官网下载最新的源码包。
安装前需要已经安装好基本的编译所需的环境,比如make、gcc、autoconf等。安装iftop还需要安装libpcap和libcurses。
CentOS上安装所需依赖包:
yum install flex byacc libpcap ncurses ncurses-devel libpcap-devel
Debian上安装所需依赖包:
...
阅读全文…
CentOS下安装vnStat监控服务器流量
[ 2016-09-13 14:25:36 | 作者: admin ]
一、使用编译安装
此方法适合所有的 Linux 发行版本
首先,从官网下载 vnStat :
wget http://humdi.net/vnstat/vnstat-1.11.tar.gz
解压:
tar xvzf vnstat-1.11.tar.gz
进入目录:
cd vnstat-1.11
编译安装:
make && make install
如果没有 make 命令,则需要安装 gcc 和 make
CentOS 下:
yum -y install gcc make
Debian / Ubuntu 下:
sudo apt-get install gcc make
编译安装完毕,通过 ifconfig -a 查看你的网卡,通常显示如下:
eth0 Link encap:Ethernet HWaddr 00:16:3e:a3:c3:9c
...
阅读全文…
此方法适合所有的 Linux 发行版本
首先,从官网下载 vnStat :
wget http://humdi.net/vnstat/vnstat-1.11.tar.gz
解压:
tar xvzf vnstat-1.11.tar.gz
进入目录:
cd vnstat-1.11
编译安装:
make && make install
如果没有 make 命令,则需要安装 gcc 和 make
CentOS 下:
yum -y install gcc make
Debian / Ubuntu 下:
sudo apt-get install gcc make
编译安装完毕,通过 ifconfig -a 查看你的网卡,通常显示如下:
eth0 Link encap:Ethernet HWaddr 00:16:3e:a3:c3:9c
...
阅读全文…
