WEB安全防御总结二 ： 不安全方法（ Trace/Track/Options/...）

漏洞简介：

攻击者可以使用OPTIONS和Trace方法来枚举服务器相关信息。

修复建议：

1.在服务器配置中禁止非常用的HTTP方法

2.代码中只支持常见HTTP方法。

处理方式：

禁止 Trace|Track|OPTIONS等方法。

 

作者做了几个地方的修改，现在一个一个列出来：

1. 修改.htaccess文件

在文件中添加代码如下：

	RewriteEngine on
	RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
	RewriteRule .* - [F]

2.修改虚拟机的配置文件

如下图，在虚拟机的Directory内添加 Rewrite 这个部分的代码

    DocumentRoot ../htdocs
    ServerName default:81
    ErrorLog logs/default-error_log
	
	
		Options FollowSymLinks MultiViews
		AllowOverride ALL
		Order allow,deny 
		allow from all
		
		RewriteEngine on
		RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
		RewriteRule .* - [F]
    

3. 修改httpd.conf文件

在文件尾部添加如下指令

TraceEnable off

然后就可以了。具体是哪一步发挥的作用还不知道。。