请选择 进入手机版 | 继续访问电脑版

Apache安全设置:禁止远端WWW服务支持TRACE请求

[复制链接]
查看883 | 回复0 | 2019-7-25 16:40:03 | 显示全部楼层 |阅读模式
一、漏洞介绍

RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。


二、修复方法

对于2.0.55以上版本的apache服务器,修复方法如下:
编辑httpd.conf 配置文件,加入 TraceEnable off
重启apache服务生效。


三、测试验证

加入TraceEnable off之前,telnet站点:
# telnet 站点地址 80
输出类似如下信息:
  1. Trying xxx.xxx.xxx.xxx...
  2. Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
  3. Escape character is '^]'.
复制代码
在 Escape character is '^]'. 后面 ,输入TRACE / HTTP/1.0
输出如下信息:
  1. X-Test:abcde
  2.         HTTP/1.1 200 OK
  3. Date: Wed, 18 Jul 2012 06:49:19 GMT
  4. Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
  5. Connection: close
  6. Content-Type: message/http
  7.         TRACE / HTTP/1.0
  8. X-Test: abcde
  9.         Connection closed by foreign host.
复制代码

加入TraceEnable off之后,telnet站点:
# telnet 站点地址 80
输出如下信息:
  1. Trying xxx.xxx.xxx.xxx...
  2. Connected to xxx.xxx.xxx.xxx.
  3. Escape character is '^]'.
复制代码
在输入Escape character is '^]'.后面,输入TRACE / HTTP/1.0
输出如下信息:
  1. HTTP/1.1 405 Method Not Allowed
  2. Date: Sat, 15 Jun 2019 00:41:13 GMT
  3. Server: Apache/2.4.39 (codeit) OpenSSL/1.1.1c mod_fcgid/2.3.9
  4. Allow:
  5. Content-Length: 223
  6. Connection: close
  7. Content-Type: text/html; charset=iso-8859-1
  8. <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
  9. <html><head>
  10. <title>405 Method Not Allowed</title>
  11. </head><body>
  12. <h1>Method Not Allowed</h1>
  13. <p>The requested method TRACE is not allowed for the URL /.</p>
  14. </body></html>
  15. Connection closed by foreign host.

  16. HTTP/1.1 405 Method Not Allowed
  17. The requested method TRACE is not allowed for the URL
复制代码
出现了提示信息:The requested method TRACE is not allowed for the URL 。说明漏洞已修复。




上一篇:yum升级安装apache
下一篇:[求助]网站(Apache)找不到服务器ip地址。。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1249

主题

2736

帖子

7万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
70208
QQ