360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
提示轻微

发现服务器启用了TRACK Method

WASC Threat Classification

发现时间:

漏洞类型:

其他

所属建站程序:

其他

所属服务器类型:

通用

所属编程语言:

其他

描述:

目标WEB服务器启用了TRACK Method。1.TRACK_Method是某些WEB服务器定义的一种非标准协议调试方法。由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本(简称XSS)攻击,这种攻击方式又称为跨站跟踪攻击(简称XST)

危害:

1. 攻击者可以通过TRACK Method返回的信息了解到网站前端的一些信息,如缓存服务器等,从而为下一步的攻击提供便利。

2.攻击者可以通过TRACK Method进行XSS攻击并且可以绕过HttpOnly头标记和禁止脚本这个限制读取到cookie信息。


解决方案:

1)如果你使用的是Apache:
-   确认rewrite模块激活(httpd.conf,下面一行前面没有#):
LoadModule rewrite_module modules/mod_rewrite.so

- 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* - [F]

注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件。

 

其他方案:如您使用虚拟主机或者VPS,无法修改服务器配置,推荐使用如下经360安全认证的服务器提供商

西部数码
云主机

美橙互联
云主机

第一主机
云主机

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论