El método HTTP TRACE contiene información de la instancia

Descripción

Entorno
Experience Manager

Problema/síntoma
Se realizó un pentest y se encontró el siguiente riesgo medio: TRACE de método HTTP innecesario habilitado.

El sitio se solicitó con el encabezado del dominio, pero la respuesta HTTP contiene información acerca del nombre del servidor. Esto permite a los atacantes ver el nombre de host original y el de la instancia de AEM. El encabezado de respuesta proviene de los equilibradores de carga. ¿Es posible enmascarar X-Original-Host en las respuestas HTTP?

Resolución

La solución es poner TraceEnable en “off” para cada vhost habilitado como se indica a continuación:


VirtualHost *:80
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable off

/VirtualHost

En esta página