Il metodo HTTP TRACE contiene informazioni sull’istanza
Scopri come tracciare il metodo HTTP contenente le informazioni sull'istanza impostando TraceEnable off su ogni vhost abilitato.
Descrizione description
Ambiente
Experience Manager
Problema/Sintomi
È stato eseguito un pentest ed è stato trovato il seguente rischio medio: Metodo HTTP TRACE non necessario abilitato.
Il sito è stato richiesto con l’intestazione del dominio, ma la risposta HTTP contiene informazioni sul nome del server. Questo consente agli utenti malintenzionati di vedere il nome host originale e il nome dell’istanza AEM. L’intestazione della risposta proviene da load balancer. È possibile mascherare l’intestazione X-Original-Host nelle risposte HTTP?
Risoluzione resolution
La soluzione è quella di disattivare TraceEnable per ogni vhost attivato, come indicato di seguito:
…< VirtualHost *:80>
ServerName"customer-publish"
Alias server "customer.com"
TraceEnable disattivato
…< /VirtualHost>