启用了TRACE 和TRACK HTTP 方法,如何禁用?(转)

启用了TRACE 和TRACK HTTP 方法,如何禁用？

http://wenku.baidu.com/view/557d761ea8114431b90dd873.html

http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html

http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)

http://blog.csdn.net/chamtianjiao/article/details/6268746
--------------------------------------------------------------------------------------------------
linux具体操作如下：找到服务器配置文件
　　/etc/httpd/conf/httpd.conf
　　在文件最后一行加上 TraceEnable off
　　如果不行的话在 vhost.conf 也加上以上的指令,重启apache
　　/etc/init.d/httpd restart
　　或是在httpd.conf里面每一个visual host里面加以下的module(RrwriteEngine需要compiler)
　　RewriteEngine on RewriteCond %{REQUEST_METHOD}^(TRACE|TRACK) RewriteRule .* – [F]
　　这一点比较复杂visual host都加上…重启
　　/etc/init.d/httpd restart 稍后生效

--------------------------------------------------------------------------------------------------
如果一台 web Server 支持 Trace 和 / 或 Track 方式，那么它一定存在跨站脚本漏洞，将有可能受到跨站攻击。Trace 和 Track 是用来调试 Web 服务器连接的 HTTP 方式。

我们通常在描述各种浏览器缺陷的时候，把“Cross-Site-Tracing”（跨站攻击）简称为XST。

攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

解决方案：禁用 Trace 和 / 或 Track 方式。

针对 Apache，可以借助 mod_rewrite 模块来禁止 HTTP Trace请求。只要在各虚拟主机的配置文件里添加如下语句：

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

补充其他 Web Server 的解决方案：

1、Microsoft IIS

使用 URLScan 工具禁用 HTTP Trace 请求，或者只开放满足站点需求和策略的方式。

2、Sun ONE Web Server releases 6.0 SP2 或者更高的版本：

在 obj.conf 文件的默认 object section 里添加下面的语句：

AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"

3、Sun ONE Web Server releases 6.0 SP2 或者更低的版本：

编译如下地址的 NSAPI 插件：
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/50603

--------------------------------------------------------------------------------------------------

禁用 Domino HTTP 服务器的 Trace 方法

在最近客户提交的一份安全检查报告中，有一条是检测到 Domino HTTP 服务器启用了 Trace方法，可能存在安全漏洞。虽然在 IBM 技术支持文档中宣称此处不存在安全漏洞，但也提供了禁用它的方法：

使用了 Internet 站点配置：在站点配置文档的配置标签页中，禁止 Trace 方法
未使用 Internet 站点配置：在 Notes.ini 中加入一行HTTPDisableMethods=TRACE