启用了TRACE 和TRACK HTTP 方法,如何禁用?(转)
首頁 > 安全 > 啟用了TRACE 和TRACK HTTP 方法,如何禁用?(轉)
啟用了TRACE 和TRACK HTTP 方法,如何禁用?(轉)
啟用了TRACE 和TRACK HTTP 方法,如何禁用?
http://wenku.baidu.com/view/557d761ea8114431b90dd873.html
http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html
http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻擊漏洞測試與防御修復)
http://blog.csdn.net/chamtianjiao/article/details/6268746
--------------------------------------------------------------------------------------------------
linux具體操作如下: 找到服務器配置文件
/etc/httpd/conf/httpd.conf
在文件最后一行加上 TraceEnable off
如果不行的話在 vhost.conf 也加上以上的指令,重啟apache
/etc/init.d/httpd restart
或是在httpd.conf里面每一個visual host里面加以下的module(RrwriteEngine需要compiler)
RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]
這一點比較復雜visual host都加上…重啟
/etc/init.d/httpd restart 稍后生效
--------------------------------------------------------------------------------------------------
如果一臺 web Server 支持 Trace 和 / 或 Track 方式,那么它一定存在跨站腳本漏洞,將有可能受到跨站攻擊。Trace 和 Track 是用來調試 Web 服務器連接的 HTTP 方式。
我們通常在描述各種瀏覽器缺陷的時候,把“Cross-Site-Tracing”(跨站攻擊)簡稱為XST。
攻擊者可以利用此漏洞欺騙合法用戶并得到他們的私人信息。
解決方案:禁用 Trace 和 / 或 Track 方式。
針對 Apache,可以借助 mod_rewrite 模塊來禁止 HTTP Trace請求。只要在各虛擬主機的配置文件里添加如下語句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
補充其他 Web Server 的解決方案:
1、Microsoft IIS
使用 URLScan 工具禁用 HTTP Trace 請求,或者只開放滿足站點需求和策略的方式。
2、Sun ONE Web Server releases 6.0 SP2 或者更高的版本:
在 obj.conf 文件的默認 object section 里添加下面的語句:
AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
3、Sun ONE Web Server releases 6.0 SP2 或者更低的版本:
編譯如下地址的 NSAPI 插件:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50603
更多信息可以查看以下資料:
http://www.whitehatsec.com/press_releases/WH-PR-20030120.pdf
http://archives.neohapsis.com/ar ...h/2003-q1/0035.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50603
http://www.kb.cert.org/vuls/id/867593
--------------------------------------------------------------------------------------------------
禁用 Domino HTTP 服務器的 Trace 方法
在最近客戶提交的一份 安全 檢查報告中,有一條是檢測到 Domino HTTP 服務器啟用了 Trace方法,可能存在安全漏洞。雖然在 IBM 技術 支持文檔中宣稱此處不存在安全漏洞,但也提供了禁用它的方法:
使用了 Internet 站點配置:在站點配置文檔的配置標簽頁中,禁止 Trace 方法
未使用 Internet 站點配置:在 Notes.ini 中加入一行HTTPDisableMethods=TRACE
總結
以上是生活随笔為你收集整理的启用了TRACE 和TRACK HTTP 方法,如何禁用?(转)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 二叉树 跳表_面试题之跳表
- 下一篇: mysql 列合并_mysql 列转行,