Как запретить метод Trace в Apache?

Метод TRACE используется для отладки веб-приложений, чтобы можно было определить реакцию на определенный TRACE к определенному файлу. Таким образом он используется исключительно для отладки приложений.
При запросе методом TRACE Web-Server возращает всё, что было введено при запросе, включая HTTP-заголовки. В IE6 сделана защита от XSS (Cross-Site Scripting). Для этого, при установке cookie устанавливается HttpOnly, к примеру, document.cookie=»my_cookie_var_pass=mypass:HttpOnl y»;
При чтении document.cookie, my_cookie_var не доступен. Но, можно, используя ActiveX можно сделать запрос TRACE к атакуемому сайту с заголовками браузера, и от туда можно прочитать эту переменную, так же, можно прочитать пароль на доступ в защищённую паролем зону, так как Web-Server принимает пароль в заголовке HTTP. Делая TRACE, мы получаем этот заголовок, так как он возвращается обратно.
Решение:
Добавьте в /usr/local/etc/apache22/httpd.conf строчку:

TraceEnable Off

Затем, естественно, перезапустить apache.
И метод TRACE будет недоступен.

Ваш отзыв

Вы должны войти, чтобы оставлять комментарии.