判断是否开启允许trace方法

  • Cate: 笔记
  • 本文发布较早,其内容可能过时,阅读时请注意甄别。

TRACE是一种HTTP方法,允许TRACE方法的Web服务器存在跨站脚本漏洞。

检测方法:
curl -v -X TRACE http://www.yourserver.com
curl --insecure -v -X TRACE https://www.yourserver.com
依据返回信息判断

处理方式:
禁用TRACE方法,IIS可使用URLScan禁用,而Apache则可使用mod_rewrite模块禁用或在httpd.conf中配置TraceEnable off

nginx处理,仅允许get、post,在虚拟主机server段中添加:

if ($request_method !~* GET|POST) {
    return 405;
}

Tags: 服务器

添加新评论