TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决办法:
管理员应禁用WWW服务对TRACE请求的支持。
步骤:
1. 停止Apache服务
2. 修改httpd.conf文件
① 激活rewrite模块(去掉符号#)
LoadModulerewrite_module modules/mod_rewrite.so
<Directory />Options FollowSymLinks AllowOverride None </Directory>
将AllowOverride None 改成 AllowOverride ALL 这样Apache的mod_rewrite就开启了。
② 启用Rewrite引擎
RewriteEngineOn
③ 对Request中的Method字段进行匹配,^TRACE 即以TRACE字符串开头
RewriteCond %{REQUEST_METHOD} ^TRACE
④ 定义规则:对于所有格式的来源请求,均返回[F]-Forbidden响应
RewriteRule .* - [F]
对于2.0.55以上版本的apache服务器,有一种更简单的办法:
TraceEnableoff
3. 启动Apache服务。