問題描述

 Linux 系統(tǒng)如何關(guān)閉 TRACE_Method。

問題分析

開啟 TRACE_Method 的危害

• 惡意攻擊者可以通過 TRACE Method 返回的信息了解到網(wǎng)站前端的一些信息，如緩存服務(wù)器等，從而為下一步的攻擊提供便利。

• 惡意攻擊者可以通過 TRACE Method 進行 XSS 攻擊。

• 即使網(wǎng)站對關(guān)鍵頁面啟用了 HttpOnly 頭標(biāo)記和禁止腳本讀取 cookie 信息，那么通過 TRACE Method 惡意攻擊者還是可以繞過這個限制讀取到 cookie 信息。

解決方案

關(guān)閉 TRACE_Method 的方法說明如下（建議在修改前配置文件做好備份）：

1. 找到服務(wù)器配置文件 /etc/httpd/conf/httpd.conf（服務(wù)器的配置文件的位置，具體跟環(huán)境而定）。在文件最后一行加上： TraceEnable off

2. 如果你使用的是 Apache：
   確認(rèn) rewrite 模塊激活（httpd.conf，下面一行前面沒有#）：

   LoadModule rewrite_module modules/mod_rewrite.so

   
   在各虛擬主機的配置文件里添加如下語句：

   RewriteEngine OnRewriteCond %{REQUEST_METHOD} ^TRACERewriteRule .* - [F]

   
   注：可以在httpd.conf里搜索VirtualHost確定虛擬主機的配置文件。

3、添加完畢重啟 Web 服務(wù)即可。