ブログ - クロスサイトトレーシング
クロスサイトトレーシングという攻撃方法があり,その対策としてApacheでは1.3.34以降と2.0.55で,TRACEメソッドをオフにする設定が追加されていました.
具体的には,httpd.confに以下の記述をして,Apacheを再起動するだけです.
TraceEnable Off
これはスクリプトやFlash等からTraceメソッドを発行する事で,基本認証のパスワードを盗み出すことができるというもののようで,WhiteHat Securityという機関が2003年1月に発表した攻撃手法なのだそうです.
CROSS-SITE TRACING(XST)
※PDFがダウンロードされます
TRACEメソッドはHTTP/1.1で導入されており,クライアントが自分が送信したリクエストメッセージがそのまま返ってくるというもの. 名前の通りでバッグ様ですな.
ということで,これをOffにしておくことで挙動に問題がでる可能性は低いと考えられます. よって,初期設定で最初から入れておくべきなのでしょう.
古いApacheをお使っている場合は,mod_rewriteでレスポンスを返さない様に設定できるようです.
具体的には,httpd.confに以下の記述をして,Apacheを再起動するだけです.
TraceEnable Off
これはスクリプトやFlash等からTraceメソッドを発行する事で,基本認証のパスワードを盗み出すことができるというもののようで,WhiteHat Securityという機関が2003年1月に発表した攻撃手法なのだそうです.
CROSS-SITE TRACING(XST)
※PDFがダウンロードされます
TRACEメソッドはHTTP/1.1で導入されており,クライアントが自分が送信したリクエストメッセージがそのまま返ってくるというもの. 名前の通りでバッグ様ですな.
ということで,これをOffにしておくことで挙動に問題がでる可能性は低いと考えられます. よって,初期設定で最初から入れておくべきなのでしょう.
古いApacheをお使っている場合は,mod_rewriteでレスポンスを返さない様に設定できるようです.
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
