標(biāo)題: [求助] 關(guān)于360提示服務(wù)器啟用了TRACE Method漏洞 [打印本頁(yè)]
作者: testu 時(shí)間: 2012-8-26 02:44 標(biāo)題: 關(guān)于360提示服務(wù)器啟用了TRACE Method漏洞
http://webscan.#/index/checkwebsite/url/www.xiahuo.cn
用360檢測(cè)網(wǎng)站��,給了99分���,有個(gè)trace method漏洞,按360教的方法一�,修改后網(wǎng)站就掛了。不知道具體是不是把TraceEnable off這句話加在www/wdlinx/apache/conf/httpd.conf文件的最末端�?
暫時(shí)按方法二處理的。
提示
發(fā)現(xiàn)服務(wù)器啟用了TRACE Method
WASC Threat Classification
描述:
目標(biāo)WEB服務(wù)器啟用了TRACE Method�。
1.TRACE_Method是HTTP(超文本傳輸)協(xié)議定義的一種協(xié)議調(diào)試方法,該方法會(huì)使服務(wù)器原樣返回任意客戶端請(qǐng)求的任何內(nèi)容�。
2. 由于該方法會(huì)原樣返回客戶端提交的任意數(shù)據(jù),因此可以用來(lái)進(jìn)行跨站腳本(簡(jiǎn)稱XSS)攻擊��,這種攻擊方式又稱為跨站跟蹤攻擊(簡(jiǎn)稱XST)���。危害:
1. 惡意攻擊者可以通過(guò)TRACE Method返回的信息了解到網(wǎng)站前端的一些信息��,如緩存服務(wù)器等�,從而為下一步的攻擊提供便利���。
2.惡意攻擊者可以通過(guò)TRACE Method進(jìn)行XSS攻擊
3.即使網(wǎng)站對(duì)關(guān)鍵頁(yè)面啟用了HttpOnly頭標(biāo)記和禁止腳本讀取cookie信息��,那么通過(guò)TRACE Method惡意攻擊者還是可以繞過(guò)這個(gè)限制讀取到cookie信息�。解決方案:
1)2.0.55以上版本的Apache服務(wù)器����,可以在httpd.conf的尾部添加:
TraceEnable off
2)如果你使用的是Apache:
- 確認(rèn)rewrite模塊激活(httpd.conf,下面一行前面沒(méi)有#):
LoadModule rewrite_module modules/mod_rewrite.so
- 在各虛擬主機(jī)的配置文件里添加如下語(yǔ)句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
注:可以在httpd.conf里搜索VirtualHost確定虛擬主機(jī)的配置文件�����。
作者: testu 時(shí)間: 2012-8-27 20:36
| 歡迎光臨 WDlinux官方論壇 (http://fudaan.com/bbs/) |
Powered by Discuz! 7.2 |