HTTP-TRACE-Methode enthält Instanzinformationen
Erfahren Sie, wie Sie eine HTTP-Methode mit Instanzinformationen verfolgen, indem Sie TraceEnable auf jeden aktivierten vhost.
Beschreibung description
Umgebung
Experience Manager
Problem/Symptome
Es wurde ein Pentest durchgeführt und das folgende mittlere Risiko wurde festgestellt: Unnötiges HTTP-Methode-TRACE aktiviert.
Die Website wurde mit dem Domain-Header angefordert, aber die HTTP-Antwort enthält Informationen über den Namen des Servers. Dadurch können Angreifende den originalen Hostnamen und den Namen der AEM-Instanz sehen. Der Antwort-Header kommt von den Lastverteilern. Ist es möglich, den X-Original-Host in den HTTP-Antworten zu maskieren?
Auflösung resolution
Die Lösung ist, TraceEnable für jeden aktivierten vhost wie unten beschrieben zu deaktivieren:
…< VirtualHost *:>
ServerName„customer-publish“
ServerAlias „customer.com“
TraceEnable deaktiviert
…< /VirtualHost>