启用 HTTP TRACE 方法
http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/zh_CN/HTML/am51_webseal_guide32.htm
RFC 2616 for HTTP 如下定義 TRACE 方法,“此方法用于調用已請求消息的遠程、應用層回送(loopback)。請求的接收方是源服務器或第一個代理或接收請求中零(0)Max-Forwards 值的網關。”
黑客已使用 TRACE 方法來實現對 Web 服務器的安全性攻擊。為提供優化的安全性,缺省情況下 WebSEAL 阻塞所有請求的 TRACE 方法到達 WebSEAL 服務器。
您可以通過在 WebSEAL 配置文件中設置兩個條目啟用 TRACE 方法(禁用阻塞)。
要為本地響應啟用 TRACE 方法,請設置以下條目:
[server] http-method-trace-enabled = yes要為聯結的響應啟用 TRACE 方法,請設置以下條目:
[server] http-method-trace-enabled-remote = yes缺省的 WebSEAL 配置文件不為這些配置文件條目設置任何值。WebSEAL 的缺省行為(即使當未指定配置文件條目時)將阻塞所有 TRACE 方法。
?
===http://www.pc51.net/server/web/apache/2006-12-21/294.html
你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用來調試web服務器連接的HTTP方式。
支持該方式的服務器存在跨站腳本漏洞,通常在描述各種瀏覽器缺陷的時候,把"Cross-Site-Tracing"簡稱為XST。
攻擊者可以利用此漏洞欺騙合法用戶并得到他們的私人信息。
解決方案: 禁用這些方式。
如果你使用的是Apache, 在各虛擬主機的配置文件里添加如下語句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE請求,或者只開放滿足站點需求和策略的方式。
如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默認object section里添加下面的語句:
<Client method="TRACE">
AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
</Client>
如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更低的版本, 編譯如下地址的NSAPI插件:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603
參見http://www.whitehatsec.com/press_releases/WH-PR-20030120.pdf
http://archives.neohapsis.com/archives/vulnwatch/2003-q1/0035.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603
http://www.kb.cert.org/vuls/id/867593
風險等級: 中
___________________________________________________________________
The remote webserver supports the TRACE and/or TRACK methods. TRACE and TRACK
are HTTP methods which are used to debug web server connections.
It has been shown that servers supporting this method are subject
to cross-site-scripting attacks, dubbed XST for
"Cross-Site-Tracing", when used in conjunction with
various weaknesses in browsers.
An attacker may use this flaw to trick your legitimate web users to
give him their credentials.
Solution :
Add the following lines for each virtual host in your configuration file :
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
See also http://www.kb.cert.org/vuls/id/867593
Risk factor : Medium
BUGTRAQ_ID : 9506, 9561, 11604
NESSUS_ID : 11213
| Empire CMS,phome.net |
總結
以上是生活随笔為你收集整理的启用 HTTP TRACE 方法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Tomcat Server.xml 标签
- 下一篇: Tomcat 6 数据源配置