【问题标题】:Disabling TRACE method on 2.2.3在 2.2.3 上禁用 TRACE 方法
【发布时间】:2012-08-22 13:48:50
【问题描述】:

所以我试图禁用Apache中的TRACE方法,这也是这个问题Disabling TRACE request method on Apache/2.0.52中的问题。

我已经尝试过 VirtualHost 块、目录块、.htaccess 文件等中的重写规则。另外 httpd.conf 中的 TraceEnable Off 选项不起作用。

这是我的测试结果:

[root@localhost user]# nc www.domain.com 80
TRACE / HTTP/1.1
Host: www.domain.com
VAR1:test

HTTP/1.1 200 OK
Date: Wed, 22 Aug 2012 13:37:38 GMT
Server: Apache/2
Transfer-Encoding: chunked
Content-Type: message/http

3c
TRACE / HTTP/1.1
Host: www.domain.com
VAR1: test

0

重写规则是:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]

有什么可能是错误的线索吗?

干杯!

【问题讨论】:

  • 您找到解决方案了吗?我面临着与 Apache 2.3 完全相同的问题。全局级别的 TraceEnable 似乎没有任何影响。
  • 据我所知,重写规则最终奏效了。如果你让它工作,请在此处发布。无法访问我现在遇到问题的服务器。

标签: http xss trace apache


【解决方案1】:

对于 apache2,可以在主 httpd.conf 文件中添加以下内容:

TraceEnable off

您可以使用 Curl 测试 Trace 是否开启/关闭,例如:

curl -v -X TRACE http://www.yourserver.com

参考:http://www.ducea.com/2007/10/22/apache-tips-disable-the-http-trace-method/

【讨论】:

    【解决方案2】:

    此配置更改适用于 “Apache/2.2.3 (Linux/SUSE)”/CENTOS

    编辑文件 /etc/sysconfig/apache2 查找下面的行并将 rewrite 添加到末尾。它将加载模块“mod_rewrite.so”。解释,在 CENTOS 中,LoadModule 配置文件 (/etc/apache2/sysconfig.d/loadmodule.conf) 被 /usr/sbin/rcapache2 覆盖

    APACHE_MODULES="apparmor actions alias auth_basic authn_file authz_host authz_groupfile authz_default authz_user authn_dbm autoindex cgi dir env expires include log_config mime negotiation setenvif ssl suexec userdir php5 rewrite"
    

    /etc/apache2/httpd.conf.local中添加/替换下面的IfModule语句,避免模块未加载时抛出错误。

    <IfModule mod_rewrite.c>
        RewriteEngine on
        RewriteCond %{REQUEST_METHOD} ^TRACE
        RewriteRule .* - [F]
    </IfModule>
    

    要进行测试,您可以转到 http://web-sniffer.net/ 并选择 TRACE 单选按钮。如果有效,您应该会看到 Status: HTTP/1.1 403 Forbidden

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2019-07-02
      • 2020-08-08
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2019-04-26
      相关资源
      最近更新 更多