Apache: HTTP TRACE deaktivieren
Vulnerability Scanner wie Nessus & Co. bemängeln häufig die per default aktivierte TRACE Methode des Apache Webservers. HTTP TRACE dient Diagnosezwecken und erlaubt die Rückgabe des Requests an den Client. Mithilfe dieser Methode lassen sich XSS Attacken mit dem Namen XST (Cross-Site Tracing) ausführen.
Um herauszufinden, ob eine Seite die HTTP TRACE Methode aktiviert hat, genügt ein einfacher Test mittels
telnet
:
$ telnet foo.com 80 Trying 127.0.0.1... Connected to foo.com. Escape character is '^]'. TRACE / HTTP/1.1 Host: foo.com X-Header: test HTTP/1.1 200 OK Date: Sat, 19 Jul 2008 14:28:21 GMT Server: Apache Transfer-Encoding: chunked Content-Type: message/http TRACE / HTTP/1.1 Host: foo.com X-Header: test
Um dem Apachen HTTP TRACE abzugewöhnen, reicht folgende Direktive in der Hauptkonfiguration:
TraceEnable off
Nach einem Reload ist HTTP TRACE deaktiviert und XST Angriffe sollten kein Problem mehr darstellen. Diese Einstellung ist einem älteren Lösungsvorschlag mithilfe von mod_rewrite auf jeden Fall vorzuziehen.
Nutzt man einen anderen Webserver, sollte man auch hier über die Abschaltung der unliebsamen HTTP TRACE Methode nachdenken. Übrigens scheint lighttpd noch kein HTTP TRACE implementiert zu haben – es besteht somit auch kein Handlunsbedarf bei dem noch jungen Webserver.
Related posts:
- Ach wie gut, dass niemand weiß, dass ich lighttpd heiß Angeregt durch den Artikel “Webserver zum schweigen bringen” im adminday-Blog habe ich meinem Webserver lighttpd...
- Apache ServerAlias Pendant bei lighttpd Beim bekannten Apache Webserver nutzt man in der Regel die ServerAlias Direktive, um weitere Namen...
- Buchtipp: Apache kurz und gut von O'Reilly Ich finde die Kurz & Gut Reihe aus dem Hause O’Reilly ja richtig nützlich...
- logstalgia: Apache Logfiles im Retro Style Eine Logfile-Visualisierung der besonderen Art bietet logstalgia. Im retro-Ping-Pong-Style rasen die Anfragen über den...
- Apache vs. IIS Im Folgenden zwei Grafiken zum Vergleich der Systemaufrufe von Apache und IIS. Na, fällt jemandem...
Pascal
Guter Hinweis. Hab’s gleib mal getestet und schon beim ersten Testserver war es bis dato aktiv. Nachdem ich es jetzt entsprechend deinen Angaben deaktiviert hatte, ist diese mögliche Sicherheitslücke auch nicht mehr vorhanden. Danke!
Gruß
Pascal
Der Adminblogger
Mir erschließt sich nicht wirklich, inwiefern das ein Problem darstellt…
matthias
http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf