本文介绍如何通过编辑Apache主配置文件httpd.conf来禁用TRACE或TRACK方法,防止跨站跟踪(XST)攻击,保护网站安全。文章详细说明了在不同位置添加TraceEnable off指令的方法,并指导如何重启Apache服务。
一、介绍
远程WEB服务器支持TRACE 或 TRACK方式。
TRACE / TRACK是可以用来调试WEB服务器连接的HTTP方案。当服务器支持这种方案将可能受到跨站脚本攻击,当方案被使用去连接浏览器中多个漏洞时,称XST为Cross-Site-Tracing,攻击者可能利用此漏洞欺骗合法WEB用户向攻击者提供他们的信任书。
Apache的主配置文件:/etc/httpd/conf/httpd.conf
默认站点主目录:/var/www/html/
Apache服务器的配置信息全部存储在主配置文件/etc/httpd/conf/httpd.conf中,这个文件中的内容非常多,用wc命令统计一共有1009行,其中大部分是以#开头的注释行。
二、
查看Apache版本
apachectl -v
三、
关闭方法:
1.在主配置文件httpd.conf中ServerRoot下添加配置:
cd /etc/httpd/conf/httpd.conf
TraceEnable off
可以直接配置在ServerRoot参数下面。
2.或者添加在配置文件最后
TraceEnable off
3.重启apache服务
/etc/init.d/httpd restart
扫一扫
到【灌水乐园】发言
