通过Web网站安全检测工具TRACEMethod

通过Web网站安全检测工具TRACEMethod

　　网站Security 检测发现服务器开启了TRACE Method

　　通过Web网站安全检测工具，经常会发现服务器开启了TRACE Method，并将其定位为低风险。虽然是低风险，但是看着不舒服，不知道能不能消除。而Trace Method应该是GET、POST、HEAD等类似HTTP协议的方法，通过它可以了解更多的HTTP协议。

　　TRACE 方法的定义：

　　TRACE Method是HTTP（超文本传输​​）协议定义的一种协议调试方法。此方法使服务器按原样返回任何客户端请求的任何内容。由于该方法会原样返回客户端提交的任何数据，因此可用于执行跨站脚本（XSS）攻击，也称为跨站跟踪攻击（XST）。

　　TRACE 方法的危害：

　　1、Malicious 攻击者可以通过TRACE Method返回的信息，了解网站前端的一些信息，比如缓存服务器，方便下次攻击。

　　2、Malicious 攻击者可以通过 TRACE 方法进行 XSS 攻击

　　3、 即使网站开启了HttpOnly头标签，禁止脚本读取关键页面的cookie信息，恶意攻击者仍然可以通过TRACE方法绕过这个限制读取cookie信息。

　　如何禁用 TRACE 方法：

　　1、2.0.55及以上版本的Apache服务器，可以在httpd.conf末尾添加：

　　TraceEnable 关闭

　　2、Apache 的其他版本：

　　1）确认rewrite模块被激活（httpd.conf，下一行前没有#）：

　　LoadModule rewrite_module modules/mod_rewrite.so

　　2）在每个虚拟主机的配置文件中添加如下语句：

　　重写引擎开启

　　RewriteCond %{REQUEST_METHOD} ^TRACE

　　重写规则 .*-[F]