启用 HTTP TRACE 方法

原创

mb649d3a75b51a2 2023-07-03 23:12:07 ©著作权

文章标签 server microsoft 服务器 web methods 文章分类 代码人生

©著作权归作者所有：来自51CTO博客作者mb649d3a75b51a2的原创作品，请联系作者获取转载授权，否则将追究法律责任

RFC 2616 for HTTP 如下定义 TRACE 方法，“此方法用于调用已请求消息的远程、应用层回送（loopback）。请求的接收方是源服务器或第一个代理或接收请求中零（0）Max-Forwards 值的网关。”

黑客已使用 TRACE 方法来实现对 Web 服务器的安全性攻击。为提供优化的安全性，缺省情况下 WebSEAL 阻塞所有请求的 TRACE 方法到达 WebSEAL 服务器。

您可以通过在 WebSEAL 配置文件中设置两个条目启用 TRACE 方法（禁用阻塞）。

要为本地响应启用 TRACE 方法，请设置以下条目：

[server] http-method-trace-enabled = yes

要为联结的响应启用 TRACE 方法，请设置以下条目：

[server] http-method-trace-enabled-remote = yes

缺省的 WebSEAL 配置文件不为这些配置文件条目设置任何值。WebSEAL 的缺省行为（即使当未指定配置文件条目时）将阻塞所有 TRACE 方法。

＝＝＝http://www.pc51.net/server/web/apache/2006-12-21/294.html

你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。

支持该方式的服务器存在跨站脚本漏洞，通常在描述各种浏览器缺陷的时候，把"Cross-Site-Tracing"简称为XST。

攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

解决方案: 禁用这些方式。

如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE请求，或者只开放满足站点需求和策略的方式。

如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句:
<Client method="TRACE">
AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
</Client>

如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更低的版本, 编译如下地址的NSAPI插件:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603

参见http://www.whitehatsec.com/press_releases/WH-PR-20030120.pdf
http://archives.neohapsis.com/archives/vulnwatch/2003-q1/0035.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603
http://www.kb.cert.org/vuls/id/867593

风险等级: 中
___________________________________________________________________

The remote webserver supports the TRACE and/or TRACK methods. TRACE and TRACK
 are HTTP methods which are used to debug web server connections. 

 It has been shown that servers supporting this method are subject
 to cross-site-scripting attacks, dubbed XST for
 "Cross-Site-Tracing", when used in conjunction with
 various weaknesses in browsers.

 An attacker may use this flaw to trick your legitimate web users to 
 give him their credentials.


 Solution : 
 Add the following lines for each virtual host in your configuration file :

 RewriteEngine on
 RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
 RewriteRule .* - [F]


 See also http://www.kb.cert.org/vuls/id/867593
 Risk factor : Medium
 BUGTRAQ_ID : 9506, 9561, 11604
 NESSUS_ID : 11213Empire CMS,phome.net