[求助] 關于360提示服務器啟用了TRACE Method漏洞

testu

http://webscan.#/index/checkwebsite/url/www.xiahuo.cn

用360檢測網(wǎng)站，給了99分，有個trace method漏洞，按360教的方法一，修改后網(wǎng)站就掛了。不知道具體是不是把TraceEnable off這句話加在www/wdlinx/apache/conf/httpd.conf文件的最末端？

暫時按方法二處理的。


提示

發(fā)現(xiàn)服務器啟用了TRACE Method

WASC Threat Classification

描述：
目標WEB服務器啟用了TRACE Method。
1.TRACE_Method是HTTP（超文本傳輸）協(xié)議定義的一種協(xié)議調(diào)試方法，該方法會使服務器原樣返回任意客戶端請求的任何內(nèi)容。

2. 由于該方法會原樣返回客戶端提交的任意數(shù)據(jù)，因此可以用來進行跨站腳本（簡稱XSS）攻擊，這種攻擊方式又稱為跨站跟蹤攻擊（簡稱XST）。危害：
1. 惡意攻擊者可以通過TRACE Method返回的信息了解到網(wǎng)站前端的一些信息，如緩存服務器等，從而為下一步的攻擊提供便利。

2.惡意攻擊者可以通過TRACE Method進行XSS攻擊
3.即使網(wǎng)站對關鍵頁面啟用了HttpOnly頭標記和禁止腳本讀取cookie信息，那么通過TRACE Method惡意攻擊者還是可以繞過這個限制讀取到cookie信息。解決方案：

1）2.0.55以上版本的Apache服務器，可以在httpd.conf的尾部添加：
TraceEnable off
2）如果你使用的是Apache：
-   確認rewrite模塊激活（httpd.conf，下面一行前面沒有#）：
LoadModule rewrite_module modules/mod_rewrite.so
- 在各虛擬主機的配置文件里添加如下語句：
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
注：可以在httpd.conf里搜索VirtualHost確定虛擬主機的配置文件。

testu