El método HTTP TRACE contiene información de la instancia
Aprenda a rastrear el método HTTP que contiene información de instancia estableciendo TraceEnable off en cada vhost habilitado.
Descripción description
Entorno
Experience Manager
Problema/Síntomas
Se realizó una prueba pentest y se encontró el siguiente riesgo medio: TRACE de método HTTP innecesario habilitado.
El sitio se solicitó con el encabezado del dominio, pero la respuesta HTTP contiene información acerca del nombre del servidor. Esto permite a los atacantes ver el nombre de host original y el de la instancia de AEM. El encabezado de respuesta proviene de los equilibradores de carga. ¿Es posible enmascarar X-Original-Host en las respuestas HTTP?
Resolución resolution
La solución es poner TraceEnable en “off” para cada vhost habilitado como se indica a continuación:
…<
VirtualHost *:80>
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable desactivado
…<
/VirtualHost>