作者 主題: 又一個資安問題 如何使用 mod_rewrite 模組 來關閉 Apache Http Trace 的功能  (閱讀 4761 次)

0 會員 與 1 訪客 正在閱讀本文。

liching

  • 憂鬱的高中生
  • ***
  • 文章數: 103
    • 檢視個人資料

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
引述: "liching"
如題
謝謝 !!


不用 rewrite 可以嗎?像是這樣 ?

代碼: [選擇]
<Location />
  <Limit TRACE>
      Deny from all
  </Limit>
</Location>


只是檔 TRACE 實際意義?

還有你到底是測試資安的單位,還是被測試的單位?

若是後者,那你要去問對方提供資安測試服務的單位,因為這是他們的工作範圍,收錢是得順便告知解決方式。

若是前者,麻煩請自己多費心找答案。

==
I am kenduest - 小州

my website: http://kenduest.sayya.org/

liching

  • 憂鬱的高中生
  • ***
  • 文章數: 103
    • 檢視個人資料
引述: "kenduest"
引述: "liching"
如題
謝謝 !!


不用 rewrite 可以嗎?像是這樣 ?

代碼: [選擇]
<Location />
  <Limit TRACE>
      Deny from all
  </Limit>
</Location>


只是檔 TRACE 實際意義?

==


資安廠商的報告中, 發現我們客戶的 Apache Web Server 的 Http Trace
是開啟的, 在 HTTP1.1 標準 RCF 2516 文件裏說明的 HTTP TRACE method
一般都是用來除錯與網路分析, 以便要求網頁伺服器接收到的 HTTP 要求訊息
內容. 而遠端攻擊者也可以透過啟用 HTTP Trace 功能的 Web Server, 藉由
已知的跨網站 Cross-site scripting 及其他的 Web Server 弱點, 取得與這個
Web Server 相關的敏感資訊, 如伺服器的 Cookie 及認證資訊, 便可對 Web
Server 進伊步的攻擊行為.

修補方法只說到可使用 mod_rewrite 來停用. 就這樣沒了

用不用 mod_rewirte 無所謂, 只要不被資安軟體偵測到 Web Server 有起用
HTTP Trace 的功能就好, 也就是說 Web Server 本身要先關閉.

大大你提供的方法是要寫在網頁上的
還是設定在Apache 其中一個設定檔內的呢??

我查了一天有關 mod_rewirte 的資料
發現不是目前的能夠理解滴 呵
幾乎沒玩過 Apache, 而且還是跟資安有關係的

謝謝

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
1. 你文章回覆時,請不要任意按下換行,請連續打。需要換行是因為你要空白幾行後要一個段落。

2. 前面說過:

代碼: [選擇]

1. 只是檔 TRACE 實際意義?

2. 還有你到底是測試資安的單位,還是被測試的單位?若是後者,那你要去問對方提供資安測試服務的單位,因為這是他們的工作範圍,收錢是得順便告知解決方式。若是前者,麻煩請自己多費心找答案。


你的描述好像是後者?那請你去問對方單位公司,因為這個答案給的不清不楚,收錢的生意這樣做是收得很心虛的。所以,請再去問提供該檢測報告的單位。

至於你問到怎樣改,這表示你似乎對於 apache 根本不熟悉,我會建議你先瞭解 apache 後再進行這個部份議題,要不然沒有實質幫助。

--
I am kenduest - 小州

my website: http://kenduest.sayya.org/

liching

  • 憂鬱的高中生
  • ***
  • 文章數: 103
    • 檢視個人資料
引述: "kenduest"
1. 你文章回覆時,請不要任意按下換行,請連續打。需要換行是因為你要空白幾行後要一個段落。

2. 前面說過:

代碼: [選擇]

1. 只是檔 TRACE 實際意義?

2. 還有你到底是測試資安的單位,還是被測試的單位?若是後者,那你要去問對方提供資安測試服務的單位,因為這是他們的工作範圍,收錢是得順便告知解決方式。若是前者,麻煩請自己多費心找答案。


你的描述好像是後者?那請你去問對方單位公司,因為這個答案給的不清不楚,收錢的生意這樣做是收得很心虛的。所以,請再去問提供該檢測報告的單位。

至於你問到怎樣改,這表示你似乎對於 apache 根本不熟悉,我會建議你先瞭解 apache 後再進行這個部份議題,要不然沒有實質幫助。

--


我們不是檢測單位 也不是被測單位, 我門只是負責了某個網站系統的開發, 而順便幫客戶安裝了作業系統, 就因為這樣作業系統是我們協助安裝的, 客戶要我們提出解決方法, 我也很幹, 但沒辦法, 她們是我們目前最大的客戶, 不僅被她們咬死, 我們也在有錢就賺的情況下, 陷入人家的陷阱內, 我就當多學習知識來改變心態.

下個星期三就必須提出解決方法, 雖然已經去買了兩本書回來, 但遠水救不了近火, 只好先滅火再說. 我也問過補習班的老師, 他也不會 呵!!

如果真找不到答案, 也只好去耍嘴皮子了!!
只希望有知道怎麼解決的人, 提供各方法先

謝謝

liching

  • 憂鬱的高中生
  • ***
  • 文章數: 103
    • 檢視個人資料
皇天不付苦心人 終於找到答案了

Apache HTTP Server

Use the Apache mod_rewrite module to deny HTTP TRACE requests or to permit only the methods needed to meet site requirements and policy. TRACE requests can be disabled with the following mod_rewrite syntax:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]

後來看到有人寫到以上三行是寫在 httpd.conf 的設定檔內
但是在 http://www.kb.cert.org/vuls/id/867593
裡面沒有看到 httpd.conf 的字眼
而且看到一些人說在 Apache 中設定一些有的沒的字眼
後來也都查到就是在 httpd.conf 裡面的設定
還是說 Apache 的設定檔就只有 httpd.conf 一個而已嗎??

謝謝

craig

  • 懷疑的國中生
  • **
  • 文章數: 69
    • 檢視個人資料
人家文章中有給了 mod_rewrite 的連結,
你點一下,就可以到 http://httpd.apache.org/docs/1.3/mod/mod_rewrite.html 看說明了。
mod_rewrite 的文件就有說,你要放在 httpd.conf 或 .htaccess 都可以,
至於有何差別,詳細讀一下就知道了。