標(biāo)題: [求助] 360檢測(cè)出TRACE Method開(kāi)啟��,怎么關(guān)閉���,求助 [打印本頁(yè)]
作者: qiufei 時(shí)間: 2012-8-30 17:10 標(biāo)題: 360檢測(cè)出TRACE Method開(kāi)啟�����,怎么關(guān)閉�,求助
剛檢測(cè)網(wǎng)站,提示出現(xiàn)這個(gè)���,請(qǐng)問(wèn)這個(gè)東西是怎么解決的
描述:目標(biāo)WEB服務(wù)器啟用了TRACE Method�。
1.TRACE_Method是HTTP(超文本傳輸)協(xié)議定義的一種協(xié)議調(diào)試方法����,該方法會(huì)使服務(wù)器原樣返回任意客戶端請(qǐng)求的任何內(nèi)容�����。
- 收起
2. 由于該方法會(huì)原樣返回客戶端提交的任意數(shù)據(jù)���,因此可以用來(lái)進(jìn)行跨站腳本(簡(jiǎn)稱XSS)攻擊��,這種攻擊方式又稱為跨站跟蹤攻擊(簡(jiǎn)稱XST)��。
危害:1. 惡意攻擊者可以通過(guò)TRACE Method返回的信息了解到網(wǎng)站前端的一些信息��,如緩存服務(wù)器等�,從而為下一步的攻擊提供便利。
+ 展開(kāi)
解決方案:
1)2.0.55以上版本的Apache服務(wù)器���,可以在httpd.conf的尾部添加:
TraceEnable off
2)如果你使用的是Apache:
- 確認(rèn)rewrite模塊激活(httpd.conf��,下面一行前面沒(méi)有#):
LoadModule rewrite_module modules/mod_rewrite.so
- 在各虛擬主機(jī)的配置文件里添加如下語(yǔ)句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
注:可以在httpd.conf里搜索VirtualHost確定虛擬主機(jī)的配置文件�。
作者: qqcm 時(shí)間: 2012-9-1 23:46
你不是找到答案了嗎�?360的解決方案同樣實(shí)用于 wdcp
| 歡迎光臨 WDlinux官方論壇 (http://www.fsowen.com/bbs/) |
Powered by Discuz! 7.2 |