Как запретить метод Trace в Apache?
При запросе методом TRACE Web-Server возращает всё, что было введено при запросе, включая HTTP-заголовки. В IE6 сделана защита от XSS (Cross-Site Scripting). Для этого, при установке cookie устанавливается HttpOnly, к примеру, document.cookie=»my_cookie_var_pass=mypass:HttpOnl y»;
При чтении document.cookie, my_cookie_var не доступен. Но, можно, используя ActiveX можно сделать запрос TRACE к атакуемому сайту с заголовками браузера, и от туда можно прочитать эту переменную, так же, можно прочитать пароль на доступ в защищённую паролем зону, так как Web-Server принимает пароль в заголовке HTTP. Делая TRACE, мы получаем этот заголовок, так как он возвращается обратно.
Решение:
Добавьте в /usr/local/etc/apache22/httpd.conf строчку:
TraceEnable Off
И метод TRACE будет недоступен.
Ваш отзыв
-
Лазерная эпиляция цена за 1 сеанс ноги спб кабинетов и клиник. Низкие цены lecardo.ru