O método TRACE do HTTP contém informações da instância

Última atualização em 2023-01-23

Descrição

Ambiente
Experience Manager

Problema/Sintomas
Um teste de intrusão foi realizado e o seguinte risco médio foi detectado: TRACE de método HTTP desnecessário habilitado.

O site foi solicitado com o cabeçalho do domínio, mas a resposta HTTP contém informações sobre o nome do servidor. Isso permite que invasores vejam o nome original do host e o nome da instância do AEM. O cabeçalho de resposta vem de balanceadores de carga. É possível mascarar o X-Original-Host nas respostas HTTP?

Resolução

A solução é definir o TraceEnable como “off” para cada vhost ativado, conforme abaixo:


VirtualHost *:80
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable off

/VirtualHost

Nesta página