Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2014年1月18日

Apache の Trace メソッドを無効にする

はじめに

Apache では、デフォルトで Trace メソッドが有効になっています。

Web アプリケーションにクロスサイトスクリプティングの脆弱性がある場合に、Web サーバーで Trace メソッドが有効になっていると、クロスサイトトレーシングという脆弱性が発生する可能性があります。

クロスサイトトレーシングの脆弱性があると、暗号化されていない Basic 認証の ID やパスワード、Cookie の情報などが漏洩する可能性があります。

そのため、保険的な対策として、Trace メソッドは無効にすることが推奨されます。

Trace メソッドの動作確認

OWASP ZAP のマニュアルリクエスト機能で、Trace メソッドで Apache にリクエストを送信してみます。

リクエストヘッダーは以下のようになります。

TRACE http://192.168.11.10/ HTTP/1.0
Host: 192.168.11.10
Content-length: 0

レスポンスヘッダーは以下のようになっているので、Trace メソッドが有効なことが分かります。
HTTP/1.1 200 OK
Date: Fri, 17 Jan 2014 17:34:40 GMT
Server: Apache
Connection: close
Content-Type: message/http

Trace メソッドを無効にする

Trace メソッドを無効にするには、以下のファイルを編集します。

# vi /etc/httpd/conf/httpd.conf

ファイルの最終行あたりに、以下の内容を追加します。
TraceEnable off

Apache を再起動して設定を有効にします。
# service httpd restart

Trace メソッドの動作再確認

リクエストヘッダーは以下のようになります。

TRACE http://192.168.11.10/ HTTP/1.0
Host: 192.168.11.10
Content-length: 0

レスポンスヘッダーは以下のようになるため、Trace メソッドが無効になっていることが分かります。
HTTP/1.1 405 Method Not Allowed
Date: Fri, 17 Jan 2014 18:04:29 GMT
Server: Apache
X-Frame-Options: DENY
Allow: 
Content-Length: 223
Connection: close
Content-Type: text/html; charset=iso-8859-1


スポンサーリンク




カテゴリー:Linux

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA