遠端WWW服務支援TRACE請求

2021-07-12 04:51:29 字數 1160 閱讀 9141

最近掃瞄專案所在的伺服器發現乙個漏洞,名稱叫「遠端www服務支援trace請求」,提供的解決辦法沒多大用處,只說是「管理員應禁用www服務對trace請求的支援」,但具體怎樣做不太清楚,上網搜了一下,利用apache伺服器的rewrite功能,對trace請求進行攔截,以下是解決辦法。

詳細描述

遠端www服務支援trace請求。rfc 2616介紹了trace請求,該請求典型地用於測試http協議實現。攻擊者利用trace請求,結合其它瀏覽器端漏洞,有可能進行跨站指令碼攻擊,獲取敏感資訊,比如cookie中的認證資訊,這些敏感資訊將被用於其它型別的攻擊。

解決辦法

管理員應禁用www服務對trace請求的支援。

iisurlscan

apache

source code modification

mod_rewrite module

rewriteengine on

rewritecond ^(trace|track)

rewriterule .* - [f]

步驟:1、停止apache服務(以root許可權登入)

2、修改httpd.conf檔案

編輯httpd.conf檔案

# 首先,啟用rewrite模組(去掉符號#)

loadmodule rewrite_module modules/mod_rewrite.so

# 啟用rewrite引擎

rewriteengine on

# 對request中的method欄位進行匹配:^trace 即以trace字串開頭

rewritecond % ^trace

# 定義規則:對於所有格式的**請求,均返回[f]-forbidden響應

rewriterule .* - [f]

對於2.0.55以上版本的apache伺服器,有一種更簡單的辦法:

traceenable off

3、啟動apache服務(以root許可權登入)

遠端WWW服務支援TRACE請求

最近掃瞄專案所在的伺服器發現乙個漏洞,名稱叫 遠端www服務支援trace請求 提供的解決辦法沒多大用處,只說是 管理員應禁用www服務對trace請求的支援 但具體怎樣做不太清楚,上網搜了一下,利用apache伺服器的rewrite功能,對trace請求進行攔截,以下是解決辦法。詳細描述 遠端ww...

遠端WWW服務支援TRACE請求漏洞

最近掃瞄專案所在的伺服器發現乙個漏洞,名稱叫 遠端www服務支援trace請求 提供的解決辦法沒多大用處,只說是 管理員應禁用www服務對trace請求的支援 但具體怎樣做不太清楚,上網搜了一下,利用apache伺服器的rewrite功能,對trace請求進行攔截,以下是解決辦法。詳細描述 遠端ww...

遮蔽遠端WWW服務支援TRACE請求 有效

1.2.0.55以上版本的apache伺服器,可以在httpd.conf的尾部新增 traceenable off 2.其它版本的apache伺服器可編輯httpd.conf檔案 啟用rewrite模組 去掉符號 loadmodule rewrite module modules mod rewri...