免費論壇 繁體 | 簡體
Sclub交友聊天~加入聊天室當版主
分享
返回列表 發帖

[已回答] gain.tw服务器发现TRACE_test漏洞,请管理员修复

漏洞上线时间:        2011-07-02
漏洞名称:        发现服务器启用了TRACE Method
所属服务器类型:        通用
漏洞风险:       
1. 存在 "服务器配置信息泄露" 风险
检测时间:        2015-07-20 23:51:46
漏洞证据:        /TRACE_test
漏洞地址:       
http://XXXXX.gain.tw/TRACE_test
解决方案:        1)2.0.55以上版本的Apache服务器,可以在httpd.conf的尾部添加:TraceEnable off
2)如果你使用的是Apache:
-   确认rewrite模块激活(httpd.conf,下面一行前面没有#):
LoadModule rewrite_module modules/mod_rewrite.so
- 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件

漏洞地址:       
http://XXXXX.gain.tw/TRACE_test


測試中

http://4rphotoclub.gain.tw/TRACE_test

找不到網頁

TOP

漏洞上线时间:        2011-07-02


請問你是在賺發文積分?
Discuz! 專業亂改

TOP

回復 1# bblsjy


我想您應該是用360防毒吧!因為除了360以外都沒這問題
如下:
screen-14.32.04[24.07.2015].png

但對discuz 7.2根本沒影響~因為在 \include\common.inc.php 文件中包含如下簡單的防範XSS代碼:
  1. if($urlxssdefend && !empty($_SERVER['REQUEST_URI'])) {
  2.         $temp = urldecode($_SERVER['REQUEST_URI']);
  3.         if(strpos($temp, '<') !== false || strpos($temp, '"') !== false)
  4.                 exit('Request Bad url');
  5. }
複製代碼
common.inc.zip (6.02 KB)

自己看~

TOP

回復 3# csdf


    這個漏洞確實存在的,但官方早就做更新和防範了~

TOP

返回列表