Apache服务器TraceEnable漏洞解决方法

胖胖不是两三天

温馨提示:这篇文章已超过244天没有更新,请注意相关的内容是否还可用!

trace和get一样是http的一种请求方法,该方法的作用是回显收到的客户端请求,一般用于测试服务器运行状态是否正常。该方法结合浏览器漏洞可能造成跨站脚本攻击,具体如何修复呢?修复的方法可以参考如下

验证漏洞是否存在

telnet 服务器ip 80 

如telnet 192.168.80.17 80 (回车)

黑屏模式下再粘贴

TRACE / HTTP/1.0

X-Test:abcde

回车 >> 回车,得到如下结果表示TRACE漏洞是存在的

image.png

解决办法

编缉Apache配置文件httpd.conf底下新加一行 ,区分大小写

TraceEnable off

重启apache(/etc/init.d/httpd restart)

测试

telnet 服务器ip 80 

如telnet 192.168.80.17 80 (回车)

黑屏模式下再粘贴

TRACE / HTTP/1.0

X-Test:abcde

回车 >> 回车,得到如下结果表示TRACE漏洞已经修复

image.png

文章版权声明:除非注明,否则均为阿豪运维笔记原创文章,转载或复制请以超链接形式并注明出处。