|
|
|
| |
|
|
<![CDATA[<strike id="0vs5e"><tbody id="0vs5e"><em id="0vs5e"></em></tbody></strike>]]> | | | |
標題: [求助] 關于360提示服務器啟用了TRACE Method漏洞 [打印本頁]
作者: testu 時間: 2012-8-26 02:44 標題: 關于360提示服務器啟用了TRACE Method漏洞
http://webscan.#/index/checkwebsite/url/www.xiahuo.cn
用360檢測網(wǎng)站���,給了99分����,有個trace method漏洞,按360教的方法一���,修改后網(wǎng)站就掛了���。不知道具體是不是把TraceEnable off這句話加在www/wdlinx/apache/conf/httpd.conf文件的最末端?
暫時按方法二處理的���。
提示
發(fā)現(xiàn)服務器啟用了TRACE Method
WASC Threat Classification
描述:
目標WEB服務器啟用了TRACE Method��。
1.TRACE_Method是HTTP(超文本傳輸)協(xié)議定義的一種協(xié)議調(diào)試方法��,該方法會使服務器原樣返回任意客戶端請求的任何內(nèi)容����。
2. 由于該方法會原樣返回客戶端提交的任意數(shù)據(jù),因此可以用來進行跨站腳本(簡稱XSS)攻擊��,這種攻擊方式又稱為跨站跟蹤攻擊(簡稱XST)�����。危害:
1. 惡意攻擊者可以通過TRACE Method返回的信息了解到網(wǎng)站前端的一些信息�,如緩存服務器等,從而為下一步的攻擊提供便利����。
2.惡意攻擊者可以通過TRACE Method進行XSS攻擊
3.即使網(wǎng)站對關鍵頁面啟用了HttpOnly頭標記和禁止腳本讀取cookie信息,那么通過TRACE Method惡意攻擊者還是可以繞過這個限制讀取到cookie信息�����。解決方案:
1)2.0.55以上版本的Apache服務器�,可以在httpd.conf的尾部添加:
TraceEnable off
2)如果你使用的是Apache:
- 確認rewrite模塊激活(httpd.conf��,下面一行前面沒有#):
LoadModule rewrite_module modules/mod_rewrite.so
- 在各虛擬主機的配置文件里添加如下語句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
注:可以在httpd.conf里搜索VirtualHost確定虛擬主機的配置文件�。
作者: testu 時間: 2012-8-27 20:36
| 歡迎光臨 WDlinux官方論壇 (http://ahbydz.com/bbs/) |
Powered by Discuz! 7.2 |