問題描述
ecs linux 系統如何關閉?trace_method。
問題分析
開啟?TRACE_Method 的危害
-
惡意攻擊者可以通過 TRACE Method 返回的信息了解到網站前端的一些信息,如linux服務器等,從而為下一步的攻擊提供便利。
-
惡意攻擊者可以通過 TRACE Method 進行 XSS 攻擊。
-
即使網站對關鍵頁面啟用了 HttpOnly 頭標記和禁止腳本讀取 linux 信息,那么通過 TRACE Method 惡意攻擊者還是可以繞過這個限制讀取到 cookie 信息。
解決方案
關閉?TRACE_Method 的方法說明如下(建議在修改前linux做好備份):
-
找到服務器配置文件?/etc/httpd/conf/httpd.conf(服務器的配置文件的位置,具體跟環境而定)。在文件最后一行加上:?TraceEnable off
如果你使用的是 Apache:
確認 rewrite 模塊激活(httpd.conf,下面一行前面沒有#):
LoadModule?rewrite_module?modules/mod_rewrite.so
在各linux的配置文件里添加如下語句:
RewriteEngine?On RewriteCond?%{REQUEST_METHOD}?^TRACE RewriteRule?.*?-?[F]
注:可以在httpd.conf里linuxVirtualHost確定虛擬主機的配置文件。
3、添加完畢重啟 Web 服務即可。
如果問題還未能解決,您可以到阿里云社區進行免費咨詢,或聯系云市場商家尋求幫助。
?
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
