Il metodo HTTP TRACE contiene informazioni sull’istanza

Scopri come tracciare il metodo HTTP contenente le informazioni sull’istanza impostando TraceEnable disattivato su ogni abilitato vhost.

Descrizione description

Ambiente

Experience Manager

Problema/Sintomi

È stato eseguito un pentest ed è stato riscontrato il seguente rischio medio: TRACE metodo HTTP non necessario abilitato.

Il sito è stato richiesto con l’intestazione del dominio, ma la risposta HTTP contiene informazioni sul nome del server. Questo consente agli utenti malintenzionati di vedere il nome host originale e il nome dell’istanza AEM. L’intestazione della risposta proviene da load balancer. È possibile mascherare l’intestazione X-Original-Host nelle risposte HTTP?

Risoluzione resolution

La soluzione è quella di disattivare TraceEnable per ogni vhost attivato, come indicato di seguito:


< VirtualHost *:80>
ServerName"customer-publish" ServerAlias "customer.com" TraceEnable disattivato…
< /VirtualHost>

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f