解决 ubuntu server 的跨站攻击

［From］http://weibing.blogbus.com/logs/3521541.html

apache 默认开启了TRACE功能(TraceEnable=on)，Ubuntu Server也不例外。用x-scan扫描发现此功能存在存在跨站攻击漏洞，并且提出了解决办法，在配置文件中添加如下语句：

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

    问题是不知道该放那里，找一天都没发现。尝试在/etc/apache2/httpd.conf里添加，怎么都没反应。网上一般就是打开虚拟机的 AllowOverride，然后在.htaccess文件中添加。但整个配置文件都可以修改，没理由要这样做......奇迹就发生在重启的瞬间，竟然 连不上服务器。跑到实验室发现，重启正常，无奈之下竟发现还有一个sites-available的目录，里面的default文件才是所谓的配置文件， 汗死...

   添加后可通过 telnet 127.0.0.1 80 确认是否修复该漏洞，输入：

TRACE / HTTP/1.1
Host: 202.192.33.250
X-Header: test

回车后返回：

HTTP/1.1 403 Forbidden
Date: Sun, 08 Oct 2006 11:32:11 GMT
Server: Apache/2.0.55 (Ubuntu) PHP/5.1.2

（注：windows的telnet默认没有打开输入回显）

评论

• 我的也是win2003，怎么才能解决！

  mxshow () 发表于 2007-02-09 09:48:22

• 我用的是ubuntu server系统，不是win2003，目录当然不同。在windows里，一般是修改httpd.conf这个文件，可能在c:\windows(或者c:\winnt)，也可能是apache所在的目录。邮件已发^_^

  weibing () 发表于 2006-12-05 00:56:16

• 看了您的《解决 ubuntu server 的跨站攻击》一文，对照自己的网站发现找不到你说的“sites-available的目录，里面的default文件才是所谓的配置文件” 没有 sites-available目录。我用的是在win2k3下用apache2.2.3搭的网站。请问到底是哪个目录下的哪个文件呢？盼望邮件回复

  hbtxdn () 发表于 2006-12-04 23:49:34