<p>你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。<br /><br />支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。<br /><br />攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。<br /><br />解决方案: 禁用这些方式。<br /><br />如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:<br /><br />RewriteEngine on<br />RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)<br />RewriteRule .* - [F]<br /><br />如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE请求,或者只开放满足站点需求和策略的方式。<br /><br />如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句:<br /><Client method="TRACE"><br />AuthTrans fn="set-variable"<br />remove-headers="transfer-encoding"<br />set-headers="content-length: -1"<br />error="501"<br /></Client><br /><br />如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更低的版本, 编译如下地址的NSAPI插件:<br /><a href="http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603"><font color="#0000cf">http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603</font></a></p> Loading... <p>你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。<br /><br />支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。<br /><br />攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。<br /><br />解决方案: 禁用这些方式。<br /><br />如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:<br /><br />RewriteEngine on<br />RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)<br />RewriteRule .* - [F]<br /><br />如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE请求,或者只开放满足站点需求和策略的方式。<br /><br />如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句:<br /><Client method="TRACE"><br />AuthTrans fn="set-variable"<br />remove-headers="transfer-encoding"<br />set-headers="content-length: -1"<br />error="501"<br /></Client><br /><br />如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更低的版本, 编译如下地址的NSAPI插件:<br /><span class="external-link"><a class="no-external-link" href="http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603" target="_blank"><i data-feather="external-link"></i><font color="#0000cf">http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603</font></a></span></p> 最后修改:2009 年 08 月 16 日 © 允许规范转载 打赏 赞赏作者 支付宝微信 赞 支持就是力量