O método TRACE do HTTP contém informações da instância

Saiba como rastrear o método HTTP contendo informações de instância definindo TraceEnable desativado para cada habilitado vhost.

Descrição description

Ambiente

Experience Manager

Problema/Sintomas

Um teste foi realizado e o seguinte risco médio foi encontrado: Ativação desnecessária do TRACE do método HTTP.

O site foi solicitado com o cabeçalho do domínio, mas a resposta HTTP contém informações sobre o nome do servidor. Isso permite que invasores vejam o nome original do host e o nome da instância do AEM. O cabeçalho de resposta vem de balanceadores de carga. É possível mascarar o X-Original-Host nas respostas HTTP?

Resolução resolution

A solução é definir o TraceEnable como “off” para cada vhost ativado, conforme abaixo:


< VirtualHost *:80>
ServerName"customer-publish" ServerAlias "customer.com" TraceEnable desativado…
< /VirtualHost>

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f