阿里云服務(wù)器 ECS Linux 服務(wù)器啟用了TRACE Method 后的關(guān)閉方法
問(wèn)題描述
ECS Linux 系統(tǒng)如何關(guān)閉 TRACE_Method。
問(wèn)題分析
開(kāi)啟 TRACE_Method 的危害
?惡意攻擊者可以通過(guò) TRACE Method 返回的信息了解到網(wǎng)站前端的一些信息,如緩存服務(wù)器等,從而為下一步的攻擊提供便利。
?惡意攻擊者可以通過(guò) TRACE Method 進(jìn)行 XSS 攻擊。
?即使網(wǎng)站對(duì)關(guān)鍵頁(yè)面啟用了 HttpOnly 頭標(biāo)記和禁止腳本讀取 cookie 信息,那么通過(guò) TRACE Method 惡意攻擊者還是可以繞過(guò)這個(gè)限制讀取到 cookie 信息。
解決方案
關(guān)閉 TRACE_Method 的方法說(shuō)明如下(建議在修改前配置文件做好備份):
1.找到服務(wù)器配置文件 /etc/httpd/conf/httpd.conf(服務(wù)器的配置文件的位置,具體跟環(huán)境而定)。在文件最后一行加上: TraceEnable off
2.如果你使用的是 Apache:
確認(rèn) rewrite 模塊激活(httpd.conf,下面一行前面沒(méi)有#):
LoadModule rewrite_module modules/mod_rewrite.so
在各虛擬主機(jī)的配置文件里添加如下語(yǔ)句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
注:可以在httpd.conf里搜索VirtualHost確定虛擬主機(jī)的配置文件。
3、添加完畢重啟 Web 服務(wù)即可。