禁止远端WWW服务支持TRACE请求

TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。

TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

 

解决办法:

管理员应禁用WWW服务对TRACE请求的支持。

         步骤:

1.    停止Apache服务

2.    修改httpd.conf文件

①  激活rewrite模块(去掉符号#)

LoadModulerewrite_module modules/mod_rewrite.so

<Directory />Options FollowSymLinks   AllowOverride None  </Directory> 

将AllowOverride None 改成 AllowOverride ALL 这样Apache的mod_rewrite就开启了。

 

②  启用Rewrite引擎

RewriteEngineOn

③  对Request中的Method字段进行匹配,^TRACE 即以TRACE字符串开头

RewriteCond %{REQUEST_METHOD} ^TRACE

④  定义规则:对于所有格式的来源请求,均返回[F]-Forbidden响应

RewriteRule .* - [F]

 

         对于2.0.55以上版本的apache服务器,有一种更简单的办法:

         TraceEnableoff

3.   启动Apache服务。

 

  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值