作者主題: 又一個資安問題如何使用 mod_rewrite 模組來關閉 Apache Http Trace 的功能 (閱讀 4761 次)

liching · « 於: 2006-06-22 23:38 »

如題

謝謝 !!

kenduest · « **回覆 #1 於:** 2006-06-22 23:56 »

引述: "liching"

如題
謝謝 !!

不用 rewrite 可以嗎？像是這樣 ?

<Location />
  <Limit TRACE>
      Deny from all
  </Limit>
</Location>

只是檔 TRACE 實際意義?

還有你到底是測試資安的單位，還是被測試的單位？

若是後者，那你要去問對方提供資安測試服務的單位，因為這是他們的工作範圍，收錢是得順便告知解決方式。

若是前者，麻煩請自己多費心找答案。

==

liching · « **回覆 #2 於:** 2006-06-23 00:18 »

引述: "kenduest"

引述: "liching"
如題
謝謝 !!

不用 rewrite 可以嗎？像是這樣 ?

代碼: [選擇]
<Location /> <Limit TRACE> Deny from all </Limit> </Location>

只是檔 TRACE 實際意義?

==

資安廠商的報告中, 發現我們客戶的 Apache Web Server 的 Http Trace
是開啟的, 在 HTTP1.1 標準 RCF 2516 文件裏說明的 HTTP TRACE method
一般都是用來除錯與網路分析, 以便要求網頁伺服器接收到的 HTTP 要求訊息
內容. 而遠端攻擊者也可以透過啟用 HTTP Trace 功能的 Web Server, 藉由
已知的跨網站 Cross-site scripting 及其他的 Web Server 弱點, 取得與這個
Web Server 相關的敏感資訊, 如伺服器的 Cookie 及認證資訊, 便可對 Web
Server 進伊步的攻擊行為.

修補方法只說到可使用 mod_rewrite 來停用. 就這樣沒了

用不用 mod_rewirte 無所謂, 只要不被資安軟體偵測到 Web Server 有起用
HTTP Trace 的功能就好, 也就是說 Web Server 本身要先關閉.

大大你提供的方法是要寫在網頁上的
還是設定在Apache 其中一個設定檔內的呢??

我查了一天有關 mod_rewirte 的資料
發現不是目前的能夠理解滴呵
幾乎沒玩過 Apache, 而且還是跟資安有關係的

謝謝

kenduest · « **回覆 #3 於:** 2006-06-23 00:31 »

1. 你文章回覆時，請不要任意按下換行，請連續打。需要換行是因為你要空白幾行後要一個段落。

2. 前面說過:

代碼: [選擇]


1. 只是檔 TRACE 實際意義?

2. 還有你到底是測試資安的單位，還是被測試的單位？若是後者，那你要去問對方提供資安測試服務的單位，因為這是他們的工作範圍，收錢是得順便告知解決方式。若是前者，麻煩請自己多費心找答案。

你的描述好像是後者？那請你去問對方單位公司，因為這個答案給的不清不楚，收錢的生意這樣做是收得很心虛的。所以，請再去問提供該檢測報告的單位。

至於你問到怎樣改，這表示你似乎對於 apache 根本不熟悉，我會建議你先瞭解 apache 後再進行這個部份議題，要不然沒有實質幫助。

--

liching · « **回覆 #4 於:** 2006-06-23 01:07 »

引述: "kenduest"

1. 你文章回覆時，請不要任意按下換行，請連續打。需要換行是因為你要空白幾行後要一個段落。

2. 前面說過:

代碼: [選擇]
1. 只是檔 TRACE 實際意義? 2. 還有你到底是測試資安的單位，還是被測試的單位？若是後者，那你要去問對方提供資安測試服務的單位，因為這是他們的工作範圍，收錢是得順便告知解決方式。若是前者，麻煩請自己多費心找答案。

你的描述好像是後者？那請你去問對方單位公司，因為這個答案給的不清不楚，收錢的生意這樣做是收得很心虛的。所以，請再去問提供該檢測報告的單位。

至於你問到怎樣改，這表示你似乎對於 apache 根本不熟悉，我會建議你先瞭解 apache 後再進行這個部份議題，要不然沒有實質幫助。

--

我們不是檢測單位也不是被測單位, 我門只是負責了某個網站系統的開發, 而順便幫客戶安裝了作業系統, 就因為這樣作業系統是我們協助安裝的, 客戶要我們提出解決方法, 我也很幹, 但沒辦法, 她們是我們目前最大的客戶, 不僅被她們咬死, 我們也在有錢就賺的情況下, 陷入人家的陷阱內, 我就當多學習知識來改變心態.

下個星期三就必須提出解決方法, 雖然已經去買了兩本書回來, 但遠水救不了近火, 只好先滅火再說. 我也問過補習班的老師, 他也不會呵!!

如果真找不到答案, 也只好去耍嘴皮子了!!
只希望有知道怎麼解決的人, 提供各方法先

謝謝

liching · « **回覆 #5 於:** 2006-06-23 01:37 »

皇天不付苦心人終於找到答案了

Apache HTTP Server

Use the Apache mod_rewrite module to deny HTTP TRACE requests or to permit only the methods needed to meet site requirements and policy. TRACE requests can be disabled with the following mod_rewrite syntax:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]

後來看到有人寫到以上三行是寫在 httpd.conf 的設定檔內
但是在 http://www.kb.cert.org/vuls/id/867593
裡面沒有看到 httpd.conf 的字眼
而且看到一些人說在 Apache 中設定一些有的沒的字眼
後來也都查到就是在 httpd.conf 裡面的設定
還是說 Apache 的設定檔就只有 httpd.conf 一個而已嗎??

謝謝

craig · « **回覆 #6 於:** 2006-06-23 03:28 »

人家文章中有給了 mod_rewrite 的連結，
你點一下，就可以到 http://httpd.apache.org/docs/1.3/mod/mod_rewrite.html 看說明了。
mod_rewrite 的文件就有說，你要放在 httpd.conf 或 .htaccess 都可以，
至於有何差別，詳細讀一下就知道了。

酷!學園

最新消息: