公開日:2014年1月18日
Apache の Trace メソッドを無効にする
はじめに
Apache では、デフォルトで Trace メソッドが有効になっています。
Web アプリケーションにクロスサイトスクリプティングの脆弱性がある場合に、Web サーバーで Trace メソッドが有効になっていると、クロスサイトトレーシングという脆弱性が発生する可能性があります。
クロスサイトトレーシングの脆弱性があると、暗号化されていない Basic 認証の ID やパスワード、Cookie の情報などが漏洩する可能性があります。
そのため、保険的な対策として、Trace メソッドは無効にすることが推奨されます。
Trace メソッドの動作確認
OWASP ZAP のマニュアルリクエスト機能で、Trace メソッドで Apache にリクエストを送信してみます。
リクエストヘッダーは以下のようになります。
|
1 2 3 |
TRACE http://192.168.11.10/ HTTP/1.0 Host: 192.168.11.10 Content-length: 0 |
レスポンスヘッダーは以下のようになっているので、Trace メソッドが有効なことが分かります。
|
1 2 3 4 5 |
HTTP/1.1 200 OK Date: Fri, 17 Jan 2014 17:34:40 GMT Server: Apache Connection: close Content-Type: message/http |
Trace メソッドを無効にする
Trace メソッドを無効にするには、以下のファイルを編集します。
|
1 |
# vi /etc/httpd/conf/httpd.conf |
ファイルの最終行あたりに、以下の内容を追加します。
|
1 |
TraceEnable off |
Apache を再起動して設定を有効にします。
|
1 |
# service httpd restart |
Trace メソッドの動作再確認
リクエストヘッダーは以下のようになります。
|
1 2 3 |
TRACE http://192.168.11.10/ HTTP/1.0 Host: 192.168.11.10 Content-length: 0 |
レスポンスヘッダーは以下のようになるため、Trace メソッドが無効になっていることが分かります。
|
1 2 3 4 5 6 7 8 |
HTTP/1.1 405 Method Not Allowed Date: Fri, 17 Jan 2014 18:04:29 GMT Server: Apache X-Frame-Options: DENY Allow: Content-Length: 223 Connection: close Content-Type: text/html; charset=iso-8859-1 |
スポンサーリンク
カテゴリー:Linux
Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー
コメントを残す