允許 HTTP TRACE
low Web App Scanning Plugin ID 98048
語系:
概要
允許 HTTP TRACE說明
HTTP TRACE 方法允許用戶端傳送要求至伺服器,並在伺服器的回應中將相同的要求傳回。這可讓用戶端判斷伺服器是否如預期接收要求。此方法通常用於偵錯 (例如,驗證要求送達時是否未經變更)。在許多預設安裝中,TRACE 方法仍處於啟用狀態。
雖然本身不受影響,但它確實為網路攻擊者提供了繞過 HTTPOnly cookie 旗標的方法,因此攻擊者可透過 XSS 攻擊成功存取工作階段權杖。
掃描程式發現受影響的頁面允許 HTTP TRACE 方法。
解決方案
生產環境中的網站通常不需要 HTTP TRACE 方法,因此應將其停用。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 98048
類型: remote
系列: Web Servers
已發布: 2017/3/31
已更新: 2022/4/6
掃描範本: api, basic, full, pci, scan
風險資訊
VPR
風險因素: Low
分數: 1.4
CVSS v2
風險因素: Low
基本分數: 2.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: Low
基本分數: 3.1
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 評分資料來源: Tenable