在使用NIKTO漏洞扫描工具检测网站安全doc 这篇文章中,使用了Nikto测试了一下自己的服务器,发现HTTP开启了trace方法,查阅了一下资料
TRACE和TRACK是用来调试web服务器连接的HTTP方式。
支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决方案: 禁用这些方式。
apache关闭方法可以直接在配置文件http.conf添加TraceEnable off 关闭
参考资料:
http://www.pc51.net/server/web/apache/2006-12-21/294.html
http://blog.chinaunix.net/u/32831/showart_458615.html
没有评论 :
发表评论