La méthode HTTP TRACE contient des informations sur l’instance

Découvrez comment tracer une méthode HTTP contenant des informations d’instance en définissant TraceEnable off à chaque activation vhost.

Description description

Environnement

Experience Manager

Problème/Symptômes

Un pentest a été effectué et le risque moyen suivant a été détecté : TRACE de méthode HTTP inutile activée.

Le site a été demandé avec l’en-tête de domaine, mais la réponse HTTP contient des informations sur le nom du serveur. Cela permet aux personnes malveillantes de voir le nom d’hôte d’origine et le nom d’instance AEM. L’en-tête de réponse provient des équilibreurs de charge. Est-il possible de masquer l’hôte X-Original dans les réponses HTTP ?

Résolution resolution

La solution consiste à définir TraceEnable sur chaque vhost activé comme indiqué ci-dessous :


< VirtualHost *:80>
ServerName "customer-publish" ServerAlias "customer.com" TraceEnable off…
< /VirtualHost>

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f