HTTP 추적 메서드에 인스턴스 정보가 포함됨

활성화된 각 vhost에 대해 TraceEnable off를 설정하여 인스턴스 정보가 포함된 HTTP 메서드를 추적하는 방법을 알아봅니다.

설명 description

환경

Experience Manager

문제/증상

침투 테스트를 수행했으며 다음 중간 위험이 발견되었습니다. 불필요한 HTTP 메서드 TRACE 사용.

도메인 헤더로 사이트를 요청했지만 HTTP 응답에 서버 이름에 대한 정보가 포함되어 있습니다. 이를 통해 공격자가 원래 호스트 이름과 AEM 인스턴스 이름을 볼 수 있습니다. 응답 헤더는 로드 밸런서에서 가져옵니다. HTTP 응답에서 X-Original-Host를 마스킹할 수 있습니까?

해상도 resolution

해결 방법은 아래와 같이 활성화된 각 vhost ​에 대해 TraceEnable 끄기를 설정하는 것입니다.

…
< 가상 호스트 *:80>
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable 끄기
…
< /VirtualHost>