免費論壇 繁體 | 簡體
Sclub交友聊天~加入聊天室當版主
分享
Board logo

標題: [已回答] gain.tw服务器发现TRACE_test漏洞,请管理员修复 [打印本頁]

作者: bblsjy    時間: 2015-7-21 00:15     標題: gain.tw服务器发现TRACE_test漏洞,请管理员修复

漏洞上线时间:        2011-07-02
漏洞名称:        发现服务器启用了TRACE Method
所属服务器类型:        通用
漏洞风险:       
1. 存在 "服务器配置信息泄露" 风险
检测时间:        2015-07-20 23:51:46
漏洞证据:        /TRACE_test
漏洞地址:       
http://XXXXX.gain.tw/TRACE_test
解决方案:        1)2.0.55以上版本的Apache服务器,可以在httpd.conf的尾部添加:TraceEnable off
2)如果你使用的是Apache:
-   确认rewrite模块激活(httpd.conf,下面一行前面没有#):
LoadModule rewrite_module modules/mod_rewrite.so
- 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件
作者: 4rphotoclub    時間: 2015-7-21 01:15

漏洞地址:       
http://XXXXX.gain.tw/TRACE_test


測試中

http://4rphotoclub.gain.tw/TRACE_test

找不到網頁
作者: csdf    時間: 2015-7-21 11:44

漏洞上线时间:        2011-07-02


請問你是在賺發文積分?
作者: tommy850924    時間: 2015-7-24 14:48

回復 1# bblsjy


我想您應該是用360防毒吧!因為除了360以外都沒這問題
如下:
screen-14.32.04[24.07.2015].png

但對discuz 7.2根本沒影響~因為在 \include\common.inc.php 文件中包含如下簡單的防範XSS代碼:
  1. if($urlxssdefend && !empty($_SERVER['REQUEST_URI'])) {
  2.         $temp = urldecode($_SERVER['REQUEST_URI']);
  3.         if(strpos($temp, '<') !== false || strpos($temp, '"') !== false)
  4.                 exit('Request Bad url');
  5. }
複製代碼
common.inc.zip (6.02 KB)

自己看~

圖片附件: screen-14.32.04[24.07.2015].png (2015-7-24 14:33, 70.11 KB) / 下載次數 1942
http://sclub.com.tw/discuz/attachment.php?aid=65745&k=c2aaab0ec5fb2fb851d5f70b47ed0d7e&t=1720127956&sid=F4x409



附件: common.inc.zip (2015-7-24 14:47, 6.02 KB) / 下載次數 765
http://sclub.com.tw/discuz/attachment.php?aid=65746&k=de64ec4e5f2931d1656948229d302d75&t=1720127956&sid=F4x409
作者: tommy850924    時間: 2015-7-24 14:49

回復 3# csdf


    這個漏洞確實存在的,但官方早就做更新和防範了~




歡迎光臨 SCLUB免費論壇申請-使用者論壇 (http://sclub.com.tw/discuz/) Powered by Discuz! 7.2