HTTP Trace 方法包含執行個體資訊

Last update: Thu Mar 28 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

瞭解如何透過設定來追蹤包含執行個體資訊的HTTP方法 TraceEnable 關閉，則每個已啟用 vhost。

說明 description

Experience Manager

已執行滲透測試，發現以下中級風險： 已啟用不必要的HTTP方法TRACE.

該網站是使用網域標頭要求的，但 HTTP 回應包含伺服器名稱的資訊。這可讓攻擊者查看原始主機名稱和 AEM 執行個體名稱。回應標頭來自負載平衡器。是否可以遮蔽 HTTP 回應中的 X-Original-Host？

解決方案是為每個已啟用的 vhost 將 TraceEnable 設定為 off，如下所示：

…
< VirtualHost *：80>
ServerName「customer-publish」 ServerAlias「customer.com」 TraceEnable關閉……
< /VirtualHost>

recommendation-more-help

3d58f420-19b5-47a0-a122-5c9dab55ec7f