遠端WWW服務支援TRACE請求

最近掃瞄專案所在的伺服器發現乙個漏洞，名稱叫「遠端www服務支援trace請求」，提供的解決辦法沒多大用處，只說是「管理員應禁用www服務對trace請求的支援」，但具體怎樣做不太清楚，上網搜了一下，利用apache伺服器的rewrite功能，對trace請求進行攔截，以下是解決辦法。

詳細描述

遠端www服務支援trace請求。rfc 2616介紹了trace請求，該請求典型地用於測試http協議實現。攻擊者利用trace請求，結合其它瀏覽器端漏洞，有可能進行跨站指令碼攻擊，獲取敏感資訊，比如cookie中的認證資訊，這些敏感資訊將被用於其它型別的攻擊。

解決辦法

管理員應禁用www服務對trace請求的支援。

iisurlscan

apache

source code modification

mod_rewrite module

rewriteengine on

rewritecond ^(trace|track)

rewriterule .* - [f]

步驟：1、停止apache服務（以root許可權登入）

2、修改httpd.conf檔案

編輯httpd.conf檔案

# 首先，啟用rewrite模組(去掉符號#)

loadmodule rewrite_module modules/mod_rewrite.so

# 啟用rewrite引擎

rewriteengine on

# 對request中的method欄位進行匹配：^trace 即以trace字串開頭

rewritecond % ^trace

# 定義規則：對於所有格式的**請求，均返回[f]-forbidden響應

rewriterule .* - [f]

對於2.0.55以上版本的apache伺服器，有一種更簡單的辦法：

traceenable off

3、啟動apache服務（以root許可權登入）