La méthode HTTP TRACE contient des informations sur l’instance
Découvrez comment tracer une méthode HTTP contenant des informations sur l'instance en définissant TraceEnable sur chaque vhost. activé
Description description
Environnement
Experience Manager
Problème/Symptômes
Un pentest a été effectué et le risque moyen suivant a été trouvé : TRACE de méthode HTTP inutile activée.
Le site a été demandé avec l’en-tête de domaine, mais la réponse HTTP contient des informations sur le nom du serveur. Cela permet aux personnes malveillantes de voir le nom d’hôte d’origine et le nom d’instance AEM. L’en-tête de réponse provient des équilibreurs de charge. Est-il possible de masquer l’hôte X-Original dans les réponses HTTP ?
Résolution resolution
La solution consiste à définir TraceEnable sur chaque vhost activé comme indiqué ci-dessous :
…<
VirtualHost *:80>
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable off
…<
/VirtualHost>