Jul 31
วิธีการแก้ไขง่ายๆ สำหรับ Cross-site tracing attack via HTTP TRACK / TRACE method
สำหรับ Apache ตั้งแต่ version 1.3.34 และ 2.0.55 ขึ้นไปนะครับ ทำได้โดยเพิ่ม
TraceEnable Off
ใน config ของ apache ซึ่งจะทำให้ปิดการใช้งาน Trace ได้
ถ้าเป็นรุ่นเก่ากว่านี้หน่อยต้องใช้
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
เพิ่มไปเหมือนกัน แต่ยังไม่ได้ทดลองเหมือนกันว่าใช้ยังไง อ้อ มีผลกับ IIS เหมือนกันนะครับ
วิธีแก้ของ IIS นี่ไม่รู้แฮะ
อ้างอิง
