Il metodo HTTP TRACE contiene informazioni sull’istanza

Descrizione

Ambiente
Experience Manager

Problema/Sintomi
È stato eseguito un pentest ed è stato trovato il seguente rischio medio: Metodo HTTP TRACE non necessario abilitato.

Il sito è stato richiesto con l’intestazione del dominio, ma la risposta HTTP contiene informazioni sul nome del server. Questo consente agli utenti malintenzionati di vedere il nome host originale e il nome dell’istanza AEM. L’intestazione della risposta proviene da load balancer. È possibile mascherare l’intestazione X-Original-Host nelle risposte HTTP?

Risoluzione

La soluzione è quella di disattivare TraceEnable per ogni vhost attivato, come indicato di seguito:


VirtualHost *:80
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable off

/VirtualHost

In questa pagina