Zur Navigation

HTTP Trace Methode deaktivieren

1 Lena567

Bin kürzlich auf das folgende gestoßen und würde gerne wissen, was ihr dazu sagt, also ob das ganze sinnvoll und wichtig ist oder nicht so.


Disable HTTP Trace Method
There is a security attack technique called Cross Site Tracing (XST) which can be used together with another attack mechanism called Cross Site Scripting (XSS) which exploits systems which have HTTP TRACE functionality. HTTP TRACE is a default functional feature on most webservers and is used for things like debugging. Hackers who use XST will usually steal cookie and other sensitive server information via header requests.
You can disable the trace functionality either via your Apache configuration file or by putting the following in your .htaccess file:



RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]

02.05.2021 15:01

2 Lena567

Hier etwas ausführlicher bzw. ergänzender


RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* - [F]

02.05.2021 16:52

3 Jörg

Unter Debian Linux ist TRACE bereits standardmäßig deaktiviert in der (aktivierten) Konfigurationsdatei security.conf:

TraceEnable Off

Mit dem Konsolenprogramm curl lässt sich dies von außen überpüfen:

curl -v -X TRACE https://joergs-forum.de

Die Antwort enthält den Status Code 405 "Method not allowed":

< HTTP/2 405
< date: Sun, 02 May 2021 14:57:36 GMT
< server: Apache/2.4.38 (Debian)
< allow:
< content-length: 304
< content-type: text/html; charset=iso-8859-1
<
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>405 Method Not Allowed</title>
</head><body>
<h1>Method Not Allowed</h1>
<p>The requested method TRACE is not allowed for this URL.</p>
<hr>
<address>Apache/2.4.38 (Debian) Server at joergs-forum.de Port 443</address>
</body></html>

Von den Webhostern wäre eigentlich zu erwarten, dass sie diese HTTP-Methode abgeschaltet haben. Wenn du ohne Überprüfung auf Nummer sicher gehen möchtest, kannst du auch mit mod_rewrite in der .htaccess Datei den Zugriff blocken.

02.05.2021 17:05 | geändert: 02.05.2021 17:05

1 Forenmitglied fand diesen Beitrag gut

4 Lena567

Vielen Dank lieber Jörg für deine Antwort!

03.05.2021 13:50

Beitrag schreiben (als Gast)

Die Antwort wird nach der Überprüfung durch einen Moderator freigeschaltet.





[BBCode-Hilfe]