远端WWW服务支持TRACE请求解决,关闭TraceEnable off
漏洞描述:
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。
(推荐)解决方法一
关闭TraceEnable off。apache在httpd.conf中加入(如存在则修改成off),重启httpd
TraceEnable off
验证是否成功
验证开启状态使用命令说明
telnet 127.0.0.1 80
如截图红色框柱部分为输入内容
TRACE / HTTP/1.0 X-Test:abcde
HTTP/1.1 200 OK(红色箭头),说明目前处于开启状态
验证关闭状态使用命令说明
telnet 127.0.0.1 80
如截图红色框柱部分为输入内容
TRACE / HTTP/1.0 X-Test:abcde
HTTP/1.1 405 Method Not Allowed(红色箭头),说明目前处于关闭状态
解决方法二
配置修改.htaccess
RewriteEngine on
RewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]本文作者: Liaodeity
本文链接: https://www.jianbaizhan.com/article/731
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 3.0 许可协议。转载请注明出处!