martedì 7 agosto 2018

Disabilitare metodo trace apache

Pubblicato da Oggi è un altro post martedì 7 agosto 2018 - 08:30

Come verificare se il metodo trace è attivo

Innanzitutto vediamo come verificare se sul nostro server apache il metodo trace è attivo oppure no.
Basta aprire il prompt di comandi di windows (o qualsiasi dos shell), lanciare telnet passandogli l'host e la porta (es. telnet localhost 80), e digitare/incollare i seguenti comandi:

TRACE / HTTP/1.0
Host: ip-server
TestA: Ciao
TestB: Mondo

E committarli dando doppio invio (almeno con telnet di windows).
Se a video verranno riportati i dati immessi, senza errori, allora il metodo trace è attivo.

Come disabilitare il metodo trace su apache

Bene, appurato che il terribile metodo trace è attivo sul nostro server apache, vediamo subito come disattivarlo.

Online c'è chi dice di verificare che il modulo mod_rewrite in httpd.conf sia attivo, controllando che la seguente riga sia presente e che non sia commentata:
LoadModule rewrite_module "/usr/local/apache/modules/mod_rewrite.so"

Per poi aggiungere in httpd.conf le seguenti righe di configurazione:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

A mio avviso però, il metodo più veloce per disattivare il trace method di apache è quello di aggiungere in httpd.conf la seguente riga:

TraceEnable Off

Dopo aver riavviato apache (o wamp), e ripetendo il controllo con telnet, riceveremo a video il seguente messaggio di errore: "The requested method TRACE is not allowed for the URL..." o banalmente "405 method not allowed".

E' tutto, da ora in poi il nostro sito internet non potrà subire danni a causa di un attacco che sfrutta il metodo trace.

Piaciuto l'articolo? Lascia un commento!

EmoticonEmoticon