繁體
|
簡體
Sclub交友聊天~加入聊天室當版主
(檢舉)
分享
新浪微博
QQ空间
人人网
腾讯微博
Facebook
Google+
Plurk
Twitter
Line
標題:
[已回答]
gain.tw服务器发现TRACE_test漏洞,请管理员修复
[打印本頁]
作者:
bblsjy
時間:
2015-7-21 00:15
標題:
gain.tw服务器发现TRACE_test漏洞,请管理员修复
漏洞上线时间: 2011-07-02
漏洞名称: 发现服务器启用了TRACE Method
所属服务器类型: 通用
漏洞风险:
1. 存在 "服务器配置信息泄露" 风险
检测时间: 2015-07-20 23:51:46
漏洞证据: /TRACE_test
漏洞地址:
http://XXXXX.gain.tw/TRACE_test
解决方案: 1)2.0.55以上版本的Apache服务器,可以在httpd.conf的尾部添加:TraceEnable off
2)如果你使用的是Apache:
- 确认rewrite模块激活(httpd.conf,下面一行前面没有#):
LoadModule rewrite_module modules/mod_rewrite.so
- 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件
作者:
4rphotoclub
時間:
2015-7-21 01:15
漏洞地址:
http://XXXXX.gain.tw/TRACE_test
測試中
http://4rphotoclub.gain.tw/TRACE_test
找不到網頁
作者:
csdf
時間:
2015-7-21 11:44
漏洞上线时间: 2011-07-02
請問你是在賺發文積分?
作者:
tommy850924
時間:
2015-7-24 14:48
回復
1#
bblsjy
我想您應該是用360防毒吧!因為除了360以外都沒這問題
如下:
下載
(70.11 KB)
2015-7-24 14:33
但對discuz 7.2根本沒影響~因為在 \include\common.inc.php 文件中包含如下簡單的防範XSS代碼:
if($urlxssdefend && !empty($_SERVER['REQUEST_URI'])) {
$temp = urldecode($_SERVER['REQUEST_URI']);
if(strpos($temp, '<') !== false || strpos($temp, '"') !== false)
exit('Request Bad url');
}
複製代碼
common.inc.zip
(6.02 KB)
下載次數: 1335
2015-7-24 14:47
自己看~
圖片附件:
screen-14.32.04[24.07.2015].png
(2015-7-24 14:33, 70.11 KB) / 下載次數 2528
http://youpost.info/discuz/attachment.php?aid=65745&k=8260d573166d8bb13a683ae6b0bafb98&t=1732730377&sid=ttVH9y
附件:
common.inc.zip
(2015-7-24 14:47, 6.02 KB) / 下載次數 1335
http://youpost.info/discuz/attachment.php?aid=65746&k=2f573a3d3aa12f84aee5f9a47063d691&t=1732730377&sid=ttVH9y
作者:
tommy850924
時間:
2015-7-24 14:49
回復
3#
csdf
這個漏洞確實存在的,但官方早就做更新和防範了~
歡迎光臨 SCLUB免費論壇申請-使用者論壇 (http://youpost.info/discuz/)
Powered by Discuz! 7.2