[已回答] gain.tw服务器发现TRACE_test漏洞，请管理员修复

bblsjy

漏洞上线时间:        2011-07-02
漏洞名称:        发现服务器启用了TRACE Method
所属服务器类型:        通用
漏洞风险:       
1. 存在 "服务器配置信息泄露" 风险
检测时间:        2015-07-20 23:51:46
漏洞证据:        /TRACE_test
漏洞地址:       
http://XXXXX.gain.tw/TRACE_test
解决方案:        1）2.0.55以上版本的Apache服务器，可以在httpd.conf的尾部添加：TraceEnable off
2）如果你使用的是Apache：
-   确认rewrite模块激活（httpd.conf，下面一行前面没有#）：
LoadModule rewrite_module modules/mod_rewrite.so
- 在各虚拟主机的配置文件里添加如下语句：
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
注：可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件

4rphotoclub

漏洞地址:       
http://XXXXX.gain.tw/TRACE_test


測試中

http://4rphotoclub.gain.tw/TRACE_test

找不到網頁

csdf

漏洞上线时间:        2011-07-02

請問你是在賺發文積分?

tommy850924

回復 1# bblsjy


我想您應該是用360防毒吧！因為除了360以外都沒這問題
如下：

下載 (70.11 KB)

2015-7-24 14:33

但對discuz 7.2根本沒影響~因為在 \include\common.inc.php 文件中包含如下簡單的防範XSS代碼：

1. if($urlxssdefend && !empty($_SERVER['REQUEST_URI'])) {
   
2.         $temp = urldecode($_SERVER['REQUEST_URI']);
   
3.         if(strpos($temp, '<') !== false || strpos($temp, '"') !== false)
   
4.                 exit('Request Bad url');
   
5. }

複製代碼

common.inc.zip (6.02 KB)

下載次數: 1303

2015-7-24 14:47

自己看~

tommy850924

回復 3# csdf


    這個漏洞確實存在的，但官方早就做更新和防範了~