漏洞描述
攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。
解决方案:
修改配置文件禁用options方法:
windows2008、windows2012,请在wwwroot目录建立web.config,内容如下
windows 2003,打开控制面板-ISAPI筛选器-启用自定义重写组件,然后编辑httpd.conf,如果您已有其他规则,请添加到最上面
RewriteEngine on
RewriteCond %{THE_REQUEST} ^(OPTIONS)
RewriteRule .* - [F]
inux主机,在wwwroot目录下创建.htaccess文件,内容如下,如果您已有其他规则,请添加到最上面
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]
Apache配置文件httpd.conf中添加以下代码
单独禁用Trace方法:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
单独禁用Options方法:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]
同时禁用Trace方法和Options方法
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]