کد .htaccess غیر فعال کردن TRACE and TRACK

[Pooyan Afzali 41]

درود

TRACE and TRACK یک روش درخواست هست که باعث میشه اطلاعاتی که از طرف client یا کاربر به ibm http server ارسال میشه ، مجددا به client برگردانده میشه یک مثال ساده

$ telnet 127.0.0.1 8080
Trying...
Connected to 127.0.0.1.
Escape character is '^]'.
TRACE / HTTP/1.0
Host: foo
A: b
C: d

HTTP/1.1 200 OK
Date: Mon, 04 Oct 2004 14:07:59 GMT
Server: IBM_HTTP_SERVER
Connection: close
Content-Type: message/http

TRACE / HTTP/1.0
A: b
C: d
Host: foo

Connection closed.

خوب حالا ربطش چیه؟

برنامه های مخرب (از هر نوعش مثل فیشینگ ،تروجان، کد های مخرب جاوا و...) میتونن باعث بشند که وقتی قابلیت ردیابی(TRACE and TRACK) روی سرور فعال هست

با فریب مرورگر و درخواست خودسرانه اطلاعات کاربر مثل یوزنیم و پسورد و هر هرلاعاتی که به سرور آپاچی از طرف کاربر ارسال میشه به شخص ثالت دیگه ای فرستاده بشه و بدین صورت اطلاعات مهم و حیاتی

کاربر د اختیار دیگران قرار بگیره ک این متد در جوملا هم ثل بقیه صدق میکنه و میتونه باعث حملات xss یا Cross-Site Scripting به سایت مورد نظر بشه

برای غیر فعال کردن سرویس

TRACE and TRACK و جلوگیری از حملات xss یا Cross-Site Scripting

داخل فایل htaccess کد زیر رو وارد کنید

.

# disable TRACE and TRACK in the main scope of httpd.conf
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* – [F]
…
<VirtualHost www.example.com>
…
# disable TRACE and TRACK in the www.example.com virtual host
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* – [F]
</VirtualHost>
#

موفق باشید

[mojtaba031 14]

من بلد نبودم اين كدا كجاي اين فايل كپي پيس كنم همين طوري يجاي اين فايل بين نوشته ها پيسش كردم از نظر شما كه ايرادي نداره جواب بديد با تشكر

[Ehsan_R 10]

کدها رو در آخر فایل فایل htaccess پیست کنید

منظورتو از بین نوشته ها نفهمیدم!

[mojtaba031 14]

با تشكر من وقتي اين كد ها را اضافه مي كنم سايت نمي ياد بالا ارور 500 مي ده مي شه يك فايل ازش برا دانلود بزاريد من اپلودش كنم توي هاست

[Pooyan Afzali 41]

درود

میتونید از مدیر سرورتون هم بخواید که این ماژول رو کلا غیر فعال کنه دوست عزیز

چون این کد سمت سرور هست و اگه خطا میده ممکنه مدیر سرور دسترسی رو براش بسته باشه

[mojtaba031 14]

سلام اقا پويا با تشكر هيچ مشكلي نبود من كد را اشتباهي كپي پيس مي كردم امروز شد بازم باتشكر

اقا پويان اگه كاراي ديگه اي هم هس كه براي بالا بردن امنيت سايتم انجام بدم مي شه بگيد بجز مقالات فايل h. كه همشون را انجام دادم

[Pooyan Afzali 41]

درود

تاپیک ارتقای امنیت سایت رو هم مطالعه کنید و لا تاپیک امنیت رو مرتب پیگیر باشید چون مرتبا بروز میشن

[mojtaba031 14]

منظورتون كدوم تايپيكه ادرسشو بديد همينجا

[Pooyan Afzali 41]

آموزش جامع "راهکار های جلوگیری از هک شدن سایت ، ارتقای امنیت و حفظ پایداری سایت"