Apache では、通常の設定で Trace メソッドが有効に設定されています。
Web アプリケーション(プログラム自体)にクロスサイトスクリプティングの脆弱性がある場合、Apache で Trace メソッドが有効になっていると、Cross Site Tracingという脆弱性が発生する場合があります。
Cross Site Tracingの脆弱性は、Basic 認証の ID やパスワード、Cookie の情報などが漏洩する可能性があります。
ですので、通常の設定では、Trace メソッドは無効にすることをお勧めします。
# vi /etc/httpd/conf/httpd.conf TraceEnable Off ←末尾に追加 設定反映のため、リロードします。 # service httpd reload Reloading httpd: [ OK ]
Trace メソッドの動作確認方法としては、HTTPヘッダを確認する方法があります。
リクエストヘッダーが、以下のであったとします。
TRACE http://test.domain/ HTTP/1.0 Host: test.domain Content-length: 0
これに対しレスポンスヘッダに405 Method Not Allowedが記載されています。
これでTrace メソッドが無効に設定されていることがわかります。
HTTP/1.1 405 Method Not Allowed ←ここを確認します。
Date: xxx, xx xxx xxx xx:xx:xx GMT
Server: Apache
X-Frame-Options: DENY
Allow:
Content-Length: 223
Connection: close
Content-Type: text/html; charset=iso-8859-1
[対象]
CentOS 5.x
CentOS 6.x
Apache 2.2.xx
