El método HTTP TRACE contiene información de la instancia

Última actualización: 2024-01-18

Obtenga información sobre cómo rastrear el método HTTP que contiene información de instancia estableciendo TraceEnable desactivado para cada habilitado vhost.

Descripción

Entorno

Experience Manager

Problema/Síntomas

Se realizó una prueba de pentecostés y se encontró el siguiente riesgo medio: TRACE de método HTTP innecesario habilitado.

El sitio se solicitó con el encabezado del dominio, pero la respuesta HTTP contiene información acerca del nombre del servidor. Esto permite a los atacantes ver el nombre de host original y el de la instancia de AEM. El encabezado de respuesta proviene de los equilibradores de carga. ¿Es posible enmascarar X-Original-Host en las respuestas HTTP?

Resolución

La solución es poner TraceEnable en “off” para cada vhost habilitado como se indica a continuación:


< VirtualHost *:80>
ServerName"customer-publish" ServerAlias "customer.com" TraceEnable off …
< /VirtualHost>

En esta página