远端WWW服务支持TRACE请求

漏洞描述
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求，该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求，结合其它浏览器端漏洞，有可能进行跨站脚本攻击，获取敏感信息，比如cookie中的认证信息，这些敏感信息将被用于其它类型的攻击。

 

解决方法 管理员应禁用WWW服务对TRACE请求的支持。

IIS

URLScan

Apache

Source Code Modification

Mod_Rewrite Module

RewriteEngine on
RewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]