LINUX.ORG.RU

Apache Nessus и Xspider (не пойму прикола)


0

0

Мужики помогите разобраться, не пойму что за шутка. На нескольких внутренних серваках стоит Apache 1.3.32 с модулями:

#./httpd -l

Compiled-in modules:

http_core.c

mod_log_config.c

mod_mime.c

mod_dir.c

mod_cgi.c

mod_alias.c

mod_access.c

mod_auth.c

mod_ssl.c

mod_security.c

mod_perl.c

suexec: disabled; invalid wrapper /usr/local/apache/bin/suexec

При проверке сканерами безопастности (NeWT и Xspider) по полной, получил следующее сообщение и инструкции к исправлению:

Your webserver supports the TRACE and/or TRACK methods. TRACE and TRACK are HTTP methods which are used to debug web server connections. It has been shown that servers supporting this method are subject to cross-site-scripting attacks, dubbed XST for "Cross-Site-Tracing", when used in conjunction with various weaknesses in browsers. An attacker may use this flaw to trick your legitimate web users to give him their credentials.

Solution: Disable these methods.

If you are using Apache, add the following lines for each virtual host in your configuration file :

RewriteEngine on

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* - [F]

Добавляю приведённые строки

RewriteEngine on

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* - [F]

в конфиг в общий раздел виртуальных серверов, сохраняю, проверяю синтаксис

./httpd -t

./httpd -T

всё ок, но при перезапуске апача получаю:

#./apachectl startssl

Syntax error on line 372 of /usr/local/apache/conf/httpd.conf:

Invalid command 'RewriteEngine', perhaps mis-spelled or defined by a

module not included in the server configuration

#./apachectl startssl: httpd could not be started

Если я правильно понял, то эта бага проявляется при включённом модуле mod_rewrite, но как они нешли её у меня если у меня нету этого модуля?

Как правильно поступить?

anonymous

Re: Apache Nessus и Xspider (не пойму прикола)

Сначала - что такое XST.

В стандарте HTTP, наравне с методами GET и HEAD, есть метод TRACE, который используется для отладки.

Работа этого метода заключается в слудующем. Пользователь посылает запрос Web-серверу, а тот, вместо документа, возвращает то, что он получил, клиенту, включая заголовки и cookie. Обычно это использовалось для отладки, или, например, для проверки анонимизирующих прокси.

Однако, поскольку в возвращаемом ответе может содержаться, например, информация о cookie и заголовок Authorization, она может быть прочитана скриптом, выполняющемся в данный момент в браузере, который мог быть сформирован злоумышленником за счет XSS.

Таким образом, данная атака распространяется не на Web-сервер, ана пользователей, которые могут с ним работать.

ivlad ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.