اموزش پتچ کردن مشکل امنیتی HTTP TRACE Method

بسیاری از اسکنر های امنیتی مانند Nessus یک مشکل امنیتی به نام HTTP TRACE Method را در وب سرور شناسایی کرده و به عنوان تهدید امنیتی سطح پایین گزارش می کنند.

به صورت پیش فرض بر روی سرور شما فعال است اما اگر میخواهید از فعال بودن آن مطمئن شوید فقط کافیست به پورتی که وب سرور روی آن سرویس میدهد Telnet کنید و اگر پاسخ مثبت بگیرید پس بر روی سرور شما فعال است.

telnet 127.0.0.1 80
Trying 127.0.0.1… Connected to 127.0.0.1.
Escape character is ‘^]’.
TRACE / HTTP/1.0 Host: foo Any text entered here will be echoed back in the response <- ENTER twice to finish HTTP/1.1 200 OK
Date: Wed, 10 Sep 2009 22:19:36 GMT
Server: Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07)
Connection: close
Content-Type: message/http TRACE / HTTP/1.0
Host: foo Any text entered here will be echoed back in the response Connection closed by foreign host.

میتوان این مشکل را با استفاده از Rewrite Rules حل کرد.

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]

خوب استفاده از روش بالا ملزم به فعال کردن mod_rewrite بر روی سرور می باشد اما برای ورژن های بالاتر از apache 1.3.34 و apache2 2.0.55 میتوانید به آسانی با استفاده از کد زیر این مشکل را حل کنید. (به فایل کانفیگ اضافه کنید).

TraceEnable off

اضافه کردن کد بالا، آپاچی پیغام خطای ۴۰۴ را نمایش می دهد. نتیجه:

 

telnet 127.0.0.1 80
Trying 127.0.0.1… Connected to 127.0.0.1.
Escape character is ‘^]’.
TRACE / HTTP/1.0 Host: foo testing… <- ENTER twice HTTP/1.1 403 Forbidden
Date: Wed, 20 Sep 2009 22:28:31 GMT
Server: Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07)
Content-Length: 320 Connection: close
Content-Type: text/html;
charset=iso-8859-1
<!DOCTYPE HTML(link) PUBLIC “-//IETF//DTD HTML(link) 2.0//EN”>
<html>
<head>
<title>403 Forbidden</title>
</head>
<body>
<h1>Forbidden</h1>
<p>You don’t have permission to access / on this server.</p>
<hr> <address>Apache/2.2.6 (Debian) PHP/4.4.4-9 mod_ruby/1.2.6 Ruby/1.8.6(2007-06-07) Server at foo Port 80</address>
</body>
</html>
Connection closed by foreign host.

Hai trovato questa risposta utile?

 Stampa Articolo

Leggi anche

ارائه يک الگوي امنيتي براي شبکه هاي کامپيوتري

در این مقاله پس از بررسی انواع رایج تهدیدات امنیتی علیه شبکه های کامپیوتری و راهکارهای مقابله...

امضای دیجیتالی(1)

  بخش اول-مدل قانون UNCITRAL درامضاهاي الكترونيكي (2001) مقاله اول- حدود وحوزه...

امنیت سیستم ها

امروزه ارزیابی امنیتی سیستم های اطلاعاتی بر طبق نیازهای تجاری از جمله اجرای جدا ناپذیر استراتژی...

امضای دیجیتالی(2)

فصل دوم  تفسيري براي اين مدل از قانون-I هدف و اساس اين مدل قانوني A-  هدف: استفاده...

کرم اینترنتی

CODERED يك نوع كرم اينترنتي حال به شرح حال مختصري از خصوصيات يك كرم معروف كه هنوز هم وجود خواب...