Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1234092
  • 博文数量: 220
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 1769
  • 用 户 组: 普通用户
  • 注册时间: 2015-03-13 16:19
个人简介

努力, 努力, 再努力

文章分类

全部博文(220)

文章存档

2018年(8)

2017年(46)

2016年(75)

2015年(92)

我的朋友

分类: 系统运维

2017-01-17 14:40:51

引自:


我们知道TRACE和TRACK是用来调试web服务器连接的HTTP方式.支持该方式的服务器存在跨站脚本,通常在描述各种缺陷的时候,把"Cross-Site-Tracing"简称为XST.
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息.
 
我们要禁用trace可以使用rewrite功能来实现

可以直接在apache的配置文件httpd.conf中配置相应参数,
TraceEnable off

注: 这种方法有效

虚拟主机用户可以在.htaccess文件, 或者在虚拟主机的配置文件添加如下代码过滤TRACE请求:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

 
 

阅读(2367) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~