漏洞描述
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。
解决方法 管理员应禁用WWW服务对TRACE请求的支持。
IIS
URLScan
Apache
Source Code Modification
Mod_Rewrite Module
RewriteEngine on
RewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]