Comment arrêter le serveur Linux une fois la méthode TRACE activée

黄舟
Libérer: 2017-05-31 11:36:34
original
3097 Les gens l'ont consulté

Description du problème


ECS Linux Comment désactiver TRACE_Method dans le système.

Analyse des problèmes


Les dangers liés à l'activation de TRACE_Method

  • Les attaquants malveillants peuvent prendre connaissance des informations renvoyées par Méthode TRACE Vers certaines informations sur le front-end du site Web, telles que le cache serveur, etc., facilitant ainsi la prochaine attaque.


  • Les attaquants malveillants peuvent mener des attaques XSS via la méthode TRACE.


  • Même si le site Web active les balises d'en-tête HttpOnly pour les pages clés et interdit aux scripts de lire les cookie informations, un attaquant malveillant peut toujours contourner cette restriction et lire les informations du cookie via la méthode TRACE.

Solution


La méthode pour désactiver TRACE_Method est la suivante (il est recommandé de préparer le fichier de configuration avant modification Sauvegarde) :

  1. Rechercher le fichier de configuration du serveur /etc/httpd/conf/httpd.conf (l'emplacement du fichier de configuration du serveur dépend de l'environnement). Ajoutez à la dernière ligne du fichier : TraceEnable off

Si vous utilisez Apache :
Vérifiez que le module de réécriture est activé (httpd.conf, il n'y a pas de # devant de la ligne suivante) :

LoadModule rewrite_module modules/mod_rewrite.so
Copier après la connexion

Ajoutez les instructions suivantes dans le fichier de configuration de chaque hôte virtuel :

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
Copier après la connexion

Remarque : Vous pouvez rechercher VirtualHost dans httpd.conf pour confirmer le fichier de configuration de l'hôte virtuel.

3. Après l'ajout, redémarrez le service Web.

Si le problème n'est pas résolu, vous pouvez vous rendre sur la communauté Alibaba Cloud pour une consultation gratuite ou contacter le marchand du marché du cloud pour obtenir de l'aide.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal