3 votes

Désactivation de la méthode TRACE sur 2.2.3

J'essaie donc de désactiver la méthode TRACE dans Apache, ce qui est également le problème dans cette question. Désactivation de la méthode de requête TRACE sur Apache/2.0.52 .

J'ai essayé la règle de réécriture dans le bloc VirtualHost, le bloc Directory, le fichier .htaccess, etc. En outre, l'option TraceEnable Off dans httpd.conf ne fonctionne pas.

Voici le résultat de mes tests :

[root@localhost user]# nc www.domain.com 80
TRACE / HTTP/1.1
Host: www.domain.com
VAR1:test

HTTP/1.1 200 OK
Date: Wed, 22 Aug 2012 13:37:38 GMT
Server: Apache/2
Transfer-Encoding: chunked
Content-Type: message/http

3c
TRACE / HTTP/1.1
Host: www.domain.com
VAR1: test

0

La règle de réécriture est :

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]

Des indices sur ce qui ne va pas ?

Santé !

4voto

Kamika Points 328

Pour apache2, cela peut être fait en ajoutant au fichier principal httpd.conf ce qui suit :

TraceEnable off

Vous pouvez tester si la trace est activée/désactivée en utilisant Curl, comme suit :

curl -v -X TRACE http://www.yourserver.com

Ref. : http://www.ducea.com/2007/10/22/apache-tips-disable-the-http-trace-method/

0voto

dinnouti Points 370

Ces changements de configuration sont destinés à "Apache/2.2.3 (Linux/SUSE)" / CENTOS

Modifier le fichier /etc/sysconfig/apache2 recherchez la ligne ci-dessous et ajoutez réécrire jusqu'à la fin. Il chargera le module "mod_rewrite.so". Explication : dans CENTOS, le fichier de configuration LoadModule (/etc/apache2/sysconfig.d/loadmodule.conf) est écrasé par /usr/sbin/rcapache2.

APACHE_MODULES="apparmor actions alias auth_basic authn_file authz_host authz_groupfile authz_default authz_user authn_dbm autoindex cgi dir env expires include log_config mime negotiation setenvif ssl suexec userdir php5 rewrite"

Dans le cadre de la /etc/apache2/httpd.conf.local ajouter/remplacer l'instruction IfModule suivante, afin d'éviter de générer une erreur si le module n'est pas chargé.

<IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{REQUEST_METHOD} ^TRACE
    RewriteRule .* - [F]
</IfModule>

Pour tester, vous pouvez vous rendre à l'adresse suivante http://web-sniffer.net/ et sélectionnez le bouton radio TRACE. si cela fonctionne, vous devriez voir apparaître un message d'erreur. Statut : HTTP/1.1 403 Forbidden .

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

X