漏洞简介:
攻击者可以使用OPTIONS和Trace方法来枚举服务器相关信息。
修复建议:
1.在服务器配置中禁止非常用的HTTP方法
2.代码中只支持常见HTTP方法。
处理方式:
禁止 Trace|Track|OPTIONS等方法。
作者做了几个地方的修改,现在一个一个列出来:
1. 修改.htaccess文件
在文件中添加代码如下:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]
</IfModule>
2.修改虚拟机的配置文件
如下图,在虚拟机的Directory内添加 Rewrite 这个部分的代码
<VirtualHost *:81>
DocumentRoot ../htdocs
ServerName default:81
ErrorLog logs/default-error_log
<Directory "../htdocs">
Options FollowSymLinks MultiViews
AllowOverride ALL
Order allow,deny
allow from all
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]
</Directory>
</VirtualHost>
3. 修改httpd.conf文件
在文件尾部添加如下指令
TraceEnable off
然后就可以了。具体是哪一步发挥的作用还不知道。。