在httpd.conf添加
 
TraceEnable off
 
1

 
apache 禁用TRACE / TRACK方法
 
禁用方法
本地测试过程
课程分享:

 
禁用方法
 
在httpd.conf 中增加一行“TraceEnable off”
 
本地测试过程
 
通过telnet到HTTP的某个服务端口，进行测试，如下描述 (红色为需要输入的部分)。
 关闭前测试会返回200 OK：
 
[root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
Escape character is '^]'.
TRACE / HTTP/1.0
X-Test:abcde
HTTP/1.1 200 OK
Date: Wed, 18 Jul 2012 06:49:19 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
Connection: close
Content-Type: message/http
TRACE / HTTP/1.0
X-Test: abcde
Connection closed by foreign host.
 
关闭后测试会返回405 Method Not Allowed：
 
[root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
Trying xxx.xxx.xxx.xxx...
Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
Escape character is '^]'.
TRACE / HTTP/1.0
X-Test:abcde
HTTP/1.1 405 Method Not Allowed
Date: Wed, 18 Jul 2012 06:50:05 GMT
Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
Allow:
Content-Length: 223
Connection: close
Content-Type: text/html; charset=iso-8859-1
X-Pad: avoid browser bug
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>405 Method Not Allowed</title>
</head><body>
<h1>Method Not Allowed</h1>
<p>The requested method TRACE is not allowed for the URL /.</p>
</body></html>
Connection closed by foreign host.
 
课程分享:
 
安利一门Python超级好课！
 扫码下单输优惠码【csdnfxzs】再减5元，比官网还便宜！
 
 https://marketing.csdn.net/poster/109?utm_source=NEWFXDT

一.先测试是否允许 Track/trace 请求
 
操作流程： 
 1.先打开windows的命令工具，开始进行如下测试↓↓↓↓↓↓↓
 测试方法：
 通过telnet到HTTP的某个服务端口，进行测试，如下描述(红色为你要输入的部分)。
 关闭前测试会返回200 OK：
 [root@web001 ~]$ telnet xxx.xxx.xxx.xxx 80
 Trying xxx.xxx.xxx.xxx...
 Connected to xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx).
 Escape character is '^]'.
 TRACE / HTTP/1.0
 X-Test:abcde
 HTTP/1.1 200 OK
 Date: Wed, 18 Jul 2012 06:49:19 GMT
 Server: Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8e-fips-rhel5 DAV/2 mod_jk/1.2.28
 Connection: close
 Content-Type: message/http
 TRACE / HTTP/1.0
 X-Test: abcde
 Connection closed by foreign host.
 
如果是关闭：
 
关闭后测试会返回405 Method Not Allowed：================================================================
 注：windows已安装telnet客户端在吧  
 1）.输入 【telnet xxx.xxx.xxx.xxx 80】点击回车
 2）.输入【CTRL+]】点击回车，再点击回车
 3）.输入【TRACE / HTTP/1.0】回车
 4）.输入【X-Test: abcde】两次回车
 结束，看结果
 ================================================================
 2.如果返回就是405 Method not Allowed，说明测试结果为TRACK请求已关闭，无需进行任何操作
 3.如果返回是200 OK 。请继续如下操作。
 4.关闭Apache服务。
 5.请将文件httpd.conf文件复制到D:/PHPstudy/Apache/conf/中（先将原文件备份）
 6.重启Apache服务。重复第一步操作进行测试。
 
二.关闭方式
 
1.在.htaccess文件中添加如下代码过滤TRACE请求:
 
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</IfModule>
 
2.在httpd.conf尾部添加如下指令后重启apache:
 
TraceEnable off
 
三.其他遇到的问题
 
1.telnet 无效指令，如图：
 
 
解决办法：
 

漏洞简介：
 
攻击者可以使用OPTIONS和Trace方法来枚举服务器相关信息。
 
修复建议：
 
1.在服务器配置中禁止非常用的HTTP方法
 
2.代码中只支持常见HTTP方法。
 
处理方式：
 
禁止 Trace|Track|OPTIONS等方法。
 
 
 
作者做了几个地方的修改，现在一个一个列出来：
 
1. 修改.htaccess文件
 
在文件中添加代码如下：
 
<IfModule mod_rewrite.c>
	RewriteEngine on
	RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
	RewriteRule .* - [F]
</IfModule>
 
2.修改虚拟机的配置文件
 
如下图，在虚拟机的Directory内添加 Rewrite 这个部分的代码
 
<VirtualHost *:81>
    DocumentRoot ../htdocs
    ServerName default:81
    ErrorLog logs/default-error_log
	
	<Directory "../htdocs">
		Options FollowSymLinks MultiViews
		AllowOverride ALL
		Order allow,deny 
		allow from all
		
		RewriteEngine on
		RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
		RewriteRule .* - [F]
    </Directory>
</VirtualHost>
 
3. 修改httpd.conf文件
 
在文件尾部添加如下指令
 
TraceEnable off
 
然后就可以了。具体是哪一步发挥的作用还不知道。。