目标web服务器启用了trace method
trace method是http协议定义的一种协议调试方法,该方法会是服务器原样返回任意客户端请求的内容,可用来进行跨站脚本xss的攻击,又称跨站跟踪攻击xst
危害:可以通过trace method返回的信息了解到网站前端的信息,即使网站对关键页面做了httponly头标记和禁止脚本读取cookie信息,trace method还是可以绕过这个限制读到cookie
如何禁用
在Apache配置文件httpd-conf中【VirtualHost】各虚拟主机配置文件里添加以下代码:
先确认rewrite模块激活httpd.conf里面下面一行没有被注释
LoadModule rewrite_module modules/mod_rewrite.so
单独禁用Trace方法:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
例如
documentRoot "D:wwwroot" ServerName www.abc.com ServerAlias abc.com Options FollowSymlinks ExecCGI AllowOverride All Order allow,deny Allow from all Require all granted RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS) RewriteRule .* - [F]
2.0.55以上版本的apache服务器,可以在httpd.conf尾部添加
TraceEnable off
如何验证apache的trace是否关闭
在需要测试的服务器上telnet 其他服务器
如:
telnet 10.164.26.83 8888
出现:
Trying 10.164.26.83... Connected to 10.164.26.83. Escape character is '^]'.
后输入:
TRACE / HTTP/1.0 X-Test:abcde
看输出结果:
HTTP/1.1 405 Allow: OPTIONS Content-Type: text/html;charset=utf-8 Content-Language: en Content-Length: 734 Date: Mon, 15 Nov 2021 01:58:11 GMT Connection: close
返回结果405说明关闭 200说明未关闭
