啟用 HTTP TRACE 方法

http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/zh_CN/HTML/am51_webseal_guide32.htm

RFC 2616 for HTTP 如下定義 TRACE 方法，“此方法用於調用已請求訊息的遠程、應用程式層回送（loopback）。請求的接收方是原始伺服器或第一個代理或接收請求中零（0）Max-Forwards 值的網關。”

駭客已使用 TRACE 方法來實現對 Web 服務器的安全性攻擊。為提供最佳化的安全性，預設情況下 WebSEAL 阻塞所有請求的 TRACE 方法到達 WebSEAL 伺服器。

您可以通過在 WebSEAL 設定檔中設定兩個條目啟用 TRACE 方法（禁用阻塞）。

要為本地響應啟用 TRACE 方法，請設定以下條目：

[server]http-method-trace-enabled = yes

要為連接的響應啟用 TRACE 方法，請設定以下條目：

[server]http-method-trace-enabled-remote = yes

預設的 WebSEAL 設定檔不為這些設定檔條目設定任何值。WebSEAL 的預設行為（即使當未指定設定檔條目時）將阻塞所有 TRACE 方法。

 

＝＝＝http://www.pc51.net/server/web/apache/2006-12-21/294.html

你的webserver支援TRACE 和/或 TRACK 方式。 TRACE和TRACK是用來調試web伺服器串連的HTTP方式。

支援該方式的伺服器存在跨站指令碼漏洞，通常在描述各種瀏覽器缺陷的時候，把"Cross-Site-Tracing"簡稱為XST。

攻擊者可以利用此漏洞欺騙合法使用者並得到他們的私人資訊。

解決方案: 禁用這些方式。


如果你使用的是Apache, 在各虛擬機器主機的設定檔裡添加如下語句:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE請求，或者只開放滿足網站需求和策略的方式。

如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf檔案的預設object section裡添加下面的語句:
<Client method="TRACE">
AuthTrans fn="set-variable"
remove-headers="transfer-encoding"
set-headers="content-length: -1"
error="501"
</Client>

如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更低的版本, 編譯如下地址的NSAPI外掛程式:
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603


參見http://www.whitehatsec.com/press_releases/WH-PR-20030120.pdf
http://archives.neohapsis.com/archives/vulnwatch/2003-q1/0035.html
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603
http://www.kb.cert.org/vuls/id/867593

風險等級: 中
___________________________________________________________________


The remote webserver supports the TRACE and/or TRACK methods. TRACE and TRACK
are HTTP methods which are used to debug web server connections.

It has been shown that servers supporting this method are subject
to cross-site-scripting attacks, dubbed XST for
"Cross-Site-Tracing", when used in conjunction with
various weaknesses in browsers.

An attacker may use this flaw to trick your legitimate web users to
give him their credentials.


Solution :
Add the following lines for each virtual host in your configuration file :

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]


See also http://www.kb.cert.org/vuls/id/867593
Risk factor : Medium
BUGTRAQ_ID : 9506, 9561, 11604
NESSUS_ID : 11213

Empire CMS,phome.net