Help us learn about your current experience with the documentation. Take the survey.
启用了 TRACE HTTP 方法
描述
目标 Web 服务器上发现调试用的 TRACE 方法已启用。此 HTTP 方法会将 HTTP 请求数据反射回用户。在某些情况下,这些信息可能包含由中间代理应用的敏感数据。
修复建议
TRACE HTTP 方法仅用于调试,不应在生产环境站点上启用。
对于基于 Apache 的 Web 服务器,确保 TraceEnable 指令被删除或设置为 off。
对于 Microsoft 服务器,删除以下注册表键中名为 “EnableTraceMethod” 的注册表参数:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
对于其他所有服务器类型,请参考您产品的文档了解如何禁用 TRACE 方法。
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 16.11 | false | 16 | Active | high |