允許 HTTP TRACE

low Web App Scanning Plugin ID 98048

概要

允許 HTTP TRACE

說明

HTTP TRACE 方法允許用戶端傳送要求至伺服器,並在伺服器的回應中將相同的要求傳回。這可讓用戶端判斷伺服器是否如預期接收要求。此方法通常用於偵錯 (例如,驗證要求送達時是否未經變更)。

在許多預設安裝中,TRACE 方法仍處於啟用狀態。

雖然本身不受影響,但它確實為網路攻擊者提供了繞過 HTTPOnly cookie 旗標的方法,因此攻擊者可透過 XSS 攻擊成功存取工作階段權杖。

掃描程式發現受影響的頁面允許 HTTP TRACE 方法。

解決方案

生產環境中的網站通常不需要 HTTP TRACE 方法,因此應將其停用。

另請參閱

http://www.owasp.org/index.php/Cross_Site_Tracing

https://www.kb.cert.org/vuls/id/867593

Plugin 詳細資訊

嚴重性: Low

ID: 98048

類型: remote

系列: Web Servers

已發布: 2017/3/31

已更新: 2022/4/6

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Low

分數: 2.2

CVSS v2

風險因素: Low

基本分數: 2.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Low

基本分數: 3.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

CVSS 評分資料來源: Tenable

CVSS v4

風險因素: Low

Base Score: 2.1

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 評分資料來源: Tenable

參考資訊