HTTP-spårningsmetoden innehåller instansinformation
Lär dig hur du spårar HTTP-metoden som innehåller instansinformation genom att ställa in TraceEnable av på varje aktiverad vhost.
Beskrivning description
Miljö
Experience Manager
Problem/symtom
Ett pentest utfördes och följande medelrisk hittades: Onödvändig HTTP-metod, TRACE aktiverad.
Platsen begärdes med domänhuvudet, men HTTP-svaret innehåller information om serverns namn. Detta gör att angripare kan se det ursprungliga värdnamnet och AEM instansnamnet. Svarshuvudet kommer från belastningsutjämnare. Går det att maskera X-Original-Host i HTTP-svaren?
Upplösning resolution
Lösningen är att ställa in TraceEnable på varje aktiverad vhost enligt nedan:
…< VirtualHost *:80>
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable av
…< /VirtualHost >
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f