Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2014年1月18日

Apache の Trace メソッドを無効にする

はじめに

Apache では、デフォルトで Trace メソッドが有効になっています。

Web アプリケーションにクロスサイトスクリプティングの脆弱性がある場合に、Web サーバーで Trace メソッドが有効になっていると、クロスサイトトレーシングという脆弱性が発生する可能性があります。

クロスサイトトレーシングの脆弱性があると、暗号化されていない Basic 認証の ID やパスワード、Cookie の情報などが漏洩する可能性があります。

そのため、保険的な対策として、Trace メソッドは無効にすることが推奨されます。

Trace メソッドの動作確認

OWASP ZAP のマニュアルリクエスト機能で、Trace メソッドで Apache にリクエストを送信してみます。

リクエストヘッダーは以下のようになります。

レスポンスヘッダーは以下のようになっているので、Trace メソッドが有効なことが分かります。

Trace メソッドを無効にする

Trace メソッドを無効にするには、以下のファイルを編集します。

ファイルの最終行あたりに、以下の内容を追加します。

Apache を再起動して設定を有効にします。

Trace メソッドの動作再確認

リクエストヘッダーは以下のようになります。

レスポンスヘッダーは以下のようになるため、Trace メソッドが無効になっていることが分かります。


スポンサーリンク




カテゴリー:Linux

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA