Trace Method 的潜在风险及解决方法
结论
先贴结论,虽然官方声称该功能并无安全问题,然而禁用Trace带来的负面影响微乎其微,同时Appache官方也在1.3.34 和2.0.55加入了TraceEnable Off来简单的关闭该功能。故建议关闭该功能以防潜在风险。
顺带一提如果你的服务器没有用Appache服务器,如jetty的话,你可以搜索jetty Trace Method 来看如何关闭这项服务。
定义
在Appache的官方网站中,给出了Trace Method的介绍
在IBM网站有关于该问题的详细描述
Key | Value |
---|---|
描述 | 定义TRACE请求行为 |
配置语法 | TraceEnable [on|off|extended] |
默认 | TraceEnable on |
Apache官方定义
该配置指令覆盖核心服务器和Mod Proxy中的TRACE行为。默认开启TraceEnable,此时将允许符合RFC 2616(注:http 1.1协议 RFC 2616)的TRACE请求,同时该请求不允许带有请求体(body)。如果设置为OFF,那么会导致服务器返回405错误。
最后,仅在测试、DEBUG阶段,可以允许设置TraceEnable extended
来允许请求体的提交。同时核心服务器会设置请求体大小64KB以下,核心服务器也会返回请求头和响应体。
注:在Appache官方声明中提到,虽然有很多声明声称该项(Trace)是一个漏洞,但Appache认为这不是一个安全漏洞,也没有可行理由去禁止它,同时禁用该功能也会使你的服务器兼容性变差。(虽然如此他们还是把关闭Trace服务改成了只用一句TraceEnable off就可以关闭该服务)
漏洞原理
TRACE方法本用于客户端测试到服务器的网络通路,通过允许客户端知道请求链另一端接收的时什么数据,然后利用那些数据进行测试或诊断。同时对于有效的TRACE请求,相应的响应体会包含整个请求消息,这里除了暴露一些前端的信息(如缓存的cookie等信息)还会暴露对应的后端服务器地址,对恶意用户可能会以此来攻击后端服务器。
关闭方法
在/etc/httpd/conf/httpd.conf文件中进行修改,分两种情况
对于Appache服务器且版本在2.0.55以上的,只需要在最后配置
TraceEnable off
若其他版本,则需要确保rewrite模块激活
LoadModule rewrite_module modules/mod_rewrite.so
然后对于虚拟主机用户需要在.htacess文件中加入如下代码:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]