Documentação

O método TRACE do HTTP contém informações da instância

Last update: Tue Jul 16 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Saiba como rastrear o método HTTP contendo informações de instância definindo TraceEnable off para cada vhost habilitado.

Descrição description

Ambiente

Experience Manager

Problema/Sintomas

Um teste foi executado e o seguinte risco médio foi encontrado: TRACE do método HTTP desnecessário habilitado.

O site foi solicitado com o cabeçalho do domínio, mas a resposta HTTP contém informações sobre o nome do servidor. Isso permite que invasores vejam o nome original do host e o nome da instância do AEM. O cabeçalho de resposta vem de balanceadores de carga. É possível mascarar o X-Original-Host nas respostas HTTP?

Resolução resolution

A solução é definir o TraceEnable como “off” para cada vhost ativado, conforme abaixo:


< VirtualHost *:80>
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable desativado

< /VirtualHost>

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f