免費論壇 繁體 | 簡體
Sclub交友聊天~加入聊天室當版主
分享
新浪微博
QQ空间
Facebook
Google+
Plurk
Twitter
Line
Board logo

標題: [已回答] gain.tw服务器发现TRACE_test漏洞,请管理员修复 [打印本頁]
作者: bblsjy    時間: 2015-7-21 00:15     標題: gain.tw服务器发现TRACE_test漏洞,请管理员修复

漏洞上线时间:        2011-07-02
漏洞名称:        发现服务器启用了TRACE Method
所属服务器类型:        通用
漏洞风险:       
1. 存在 "服务器配置信息泄露" 风险
检测时间:        2015-07-20 23:51:46
漏洞证据:        /TRACE_test
漏洞地址:       
http://XXXXX.gain.tw/TRACE_test
解决方案:        1)2.0.55以上版本的Apache服务器,可以在httpd.conf的尾部添加:TraceEnable off
2)如果你使用的是Apache:
-   确认rewrite模块激活(httpd.conf,下面一行前面没有#):
LoadModule rewrite_module modules/mod_rewrite.so
- 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件
作者: 4rphotoclub    時間: 2015-7-21 01:15

漏洞地址:       
http://XXXXX.gain.tw/TRACE_test


測試中

http://4rphotoclub.gain.tw/TRACE_test

找不到網頁
作者: csdf    時間: 2015-7-21 11:44

漏洞上线时间:        2011-07-02


請問你是在賺發文積分?
作者: tommy850924    時間: 2015-7-24 14:48

回復 1# bblsjy


我想您應該是用360防毒吧!因為除了360以外都沒這問題
如下:
screen-14.32.04[24.07.2015].png

但對discuz 7.2根本沒影響~因為在 \include\common.inc.php 文件中包含如下簡單的防範XSS代碼:
  1. if($urlxssdefend && !empty($_SERVER['REQUEST_URI'])) {
  2.         $temp = urldecode($_SERVER['REQUEST_URI']);
  3.         if(strpos($temp, '<') !== false || strpos($temp, '"') !== false)
  4.                 exit('Request Bad url');
  5. }
複製代碼
common.inc.zip (6.02 KB)

自己看~

圖片附件: screen-14.32.04[24.07.2015].png (2015-7-24 14:33, 70.11 KB) / 下載次數 2489
http://sellers.com.tw/discuz/attachment.php?aid=65745&k=93f1a47b6942ef0e4d0936716b21ceff&t=1732388812&sid=tNIz69



附件: common.inc.zip (2015-7-24 14:47, 6.02 KB) / 下載次數 1305
http://sellers.com.tw/discuz/attachment.php?aid=65746&k=4c6ac72730b58c9d662afcf03cf812bd&t=1732388812&sid=tNIz69
作者: tommy850924    時間: 2015-7-24 14:49

回復 3# csdf


    這個漏洞確實存在的,但官方早就做更新和防範了~



歡迎光臨 SCLUB免費論壇申請-使用者論壇 (http://sellers.com.tw/discuz/) Powered by Discuz! 7.2