recherche

Maison  >  Article  >  Opération et maintenance  >  Comment arrêter le serveur Linux une fois la méthode TRACE activée

Comment arrêter le serveur Linux une fois la méthode TRACE activée

黄舟
黄舟original
2017-05-31 11:36:343101parcourir

Description du problème

ECS Linux Comment désactiver TRACE_Method dans le système.

Analyse des problèmes

Les dangers liés à l'activation de TRACE_Method

  • Les attaquants malveillants peuvent prendre connaissance des informations renvoyées par Méthode TRACE Vers certaines informations sur le front-end du site Web, telles que le cache serveur, etc., facilitant ainsi la prochaine attaque.


  • Les attaquants malveillants peuvent mener des attaques XSS via la méthode TRACE.


  • Même si le site Web active les balises d'en-tête HttpOnly pour les pages clés et interdit aux scripts de lire les cookie informations, un attaquant malveillant peut toujours contourner cette restriction et lire les informations du cookie via la méthode TRACE.

Solution

La méthode pour désactiver TRACE_Method est la suivante (il est recommandé de préparer le fichier de configuration avant modification Sauvegarde) :

  1. Rechercher le fichier de configuration du serveur /etc/httpd/conf/httpd.conf (l'emplacement du fichier de configuration du serveur dépend de l'environnement). Ajoutez à la dernière ligne du fichier : TraceEnable off

Si vous utilisez Apache :
Vérifiez que le module de réécriture est activé (httpd.conf, il n'y a pas de # devant de la ligne suivante) : 

LoadModule rewrite_module modules/mod_rewrite.so

Ajoutez les instructions suivantes dans le fichier de configuration de chaque hôte virtuel : 

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]

Remarque : Vous pouvez rechercher VirtualHost dans httpd.conf pour confirmer le fichier de configuration de l'hôte virtuel.

3. Après l'ajout, redémarrez le service Web.

Si le problème n'est pas résolu, vous pouvez vous rendre sur la communauté Alibaba Cloud pour une consultation gratuite ou contacter le marchand du marché du cloud pour obtenir de l'aide.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article précédent:Comment utiliser le script de sauvegarde automatique MySQL sous le serveur LinuxArticle suivant:Comment utiliser le script de sauvegarde automatique MySQL sous le serveur Linux

Articles Liés

Voir plus