目标web服务器启用了trace method
trace method是http协议定义的一种协议调试方法,该方法会是服务器原样返回任意客户端请求的内容,可用来进行跨站脚本xss的攻击,又称跨站跟踪攻击xst
危害:可以通过trace method返回的信息了解到网站前端的信息,即使网站对关键页面做了httponly头标记和禁止脚本读取cookie信息,trace method还是可以绕过这个限制读到cookie
如何禁用
在Apache配置文件httpd-conf中【VirtualHost】各虚拟主机配置文件里添加以下代码:
先确认rewrite模块激活httpd.conf里面下面一行没有被注释
LoadModule rewrite_module modules/mod_rewrite.so
单独禁用Trace方法:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
例如
<VirtualHost *:80>
DocumentRoot "D:\wwwroot"
ServerName www.abc.com
ServerAlias abc.com
<Directory "D:\wwwroot">
Options FollowSymLinks ExecCGI
AllowOverride All
Order allow,deny
Allow from all
Require all granted
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]
</Directory>
</VirtualHost>
2.0.55以上版本的apache服务器,可以在httpd.conf尾部添加
TraceEnable off
如何验证apache的trace是否关闭
在需要测试的服务器上telnet 其他服务器
如:
telnet 10.164.26.83 8888
出现:
Trying 10.164.26.83...
Connected to 10.164.26.83.
Escape character is '^]'.
后输入:
TRACE / HTTP/1.0
X-Test:abcde
看输出结果:
HTTP/1.1 405
Allow: OPTIONS
Content-Type: text/html;charset=utf-8
Content-Language: en
Content-Length: 734
Date: Mon, 15 Nov 2021 01:58:11 GMT
Connection: close
返回结果405说明关闭 200说明未关闭