最近掃瞄專案所在的伺服器發現乙個漏洞,名稱叫「遠端www服務支援trace請求」,提供的解決辦法沒多大用處,只說是「管理員應禁用www服務對trace請求的支援」,但具體怎樣做不太清楚,上網搜了一下,利用apache伺服器的rewrite功能,對trace請求進行攔截,以下是解決辦法。
詳細描述
遠端www服務支援trace請求。rfc 2616介紹了trace請求,該請求典型地用於測試http協議實現。攻擊者利用trace請求,結合其它瀏覽器端漏洞,有可能進行跨站指令碼攻擊,獲取敏感資訊,比如cookie中的認證資訊,這些敏感資訊將被用於其它型別的攻擊。
解決辦法
管理員應禁用www服務對trace請求的支援。
iisurlscan
apache
source code modification
mod_rewrite module
rewriteengine on
rewritecond ^(trace|track)
rewriterule .* - [f]
步驟:1、停止apache服務(以root許可權登入)
2、修改httpd.conf檔案
編輯httpd.conf檔案
# 首先,啟用rewrite模組(去掉符號#)
loadmodule rewrite_module modules/mod_rewrite.so
# 啟用rewrite引擎
rewriteengine on
# 對request中的method欄位進行匹配:^trace 即以trace字串開頭
rewritecond % ^trace
# 定義規則:對於所有格式的**請求,均返回[f]-forbidden響應
rewriterule .* - [f]
對於2.0.55以上版本的apache伺服器,有一種更簡單的辦法:
traceenable off
3、啟動apache服務(以root許可權登入)
遠端WWW服務支援TRACE請求
最近掃瞄專案所在的伺服器發現乙個漏洞,名稱叫 遠端www服務支援trace請求 提供的解決辦法沒多大用處,只說是 管理員應禁用www服務對trace請求的支援 但具體怎樣做不太清楚,上網搜了一下,利用apache伺服器的rewrite功能,對trace請求進行攔截,以下是解決辦法。詳細描述 遠端ww...
遠端WWW服務支援TRACE請求
最近掃瞄專案所在的伺服器發現乙個漏洞,名稱叫 遠端www服務支援trace請求 提供的解決辦法沒多大用處,只說是 管理員應禁用www服務對trace請求的支援 但具體怎樣做不太清楚,上網搜了一下,利用apache伺服器的rewrite功能,對trace請求進行攔截,以下是解決辦法。詳細描述 遠端ww...
遮蔽遠端WWW服務支援TRACE請求 有效
1.2.0.55以上版本的apache伺服器,可以在httpd.conf的尾部新增 traceenable off 2.其它版本的apache伺服器可編輯httpd.conf檔案 啟用rewrite模組 去掉符號 loadmodule rewrite module modules mod rewri...