Pooyan Afzali

کد .htaccess غیر فعال کردن TRACE and TRACK

9 پست در این موضوع

درود

TRACE and TRACK یک روش درخواست هست که باعث میشه اطلاعاتی که از طرف client یا کاربر به ibm http server ارسال میشه ، مجددا به client برگردانده میشه یک مثال ساده

$ telnet 127.0.0.1 8080
Trying...
Connected to 127.0.0.1.
Escape character is '^]'.
TRACE / HTTP/1.0
Host: foo
A: b
C: d

HTTP/1.1 200 OK
Date: Mon, 04 Oct 2004 14:07:59 GMT
Server: IBM_HTTP_SERVER
Connection: close
Content-Type: message/http

TRACE / HTTP/1.0
A: b
C: d
Host: foo

Connection closed.

خوب حالا ربطش چیه؟

برنامه های مخرب (از هر نوعش مثل فیشینگ ،تروجان، کد های مخرب جاوا و...) میتونن باعث بشند که وقتی قابلیت ردیابی(TRACE and TRACK) روی سرور فعال هست

با فریب مرورگر و درخواست خودسرانه اطلاعات کاربر مثل یوزنیم و پسورد و هر هرلاعاتی که به سرور آپاچی از طرف کاربر ارسال میشه به شخص ثالت دیگه ای فرستاده بشه و بدین صورت اطلاعات مهم و حیاتی

کاربر د اختیار دیگران قرار بگیره ک این متد در جوملا هم ثل بقیه صدق میکنه و میتونه باعث حملات xss یا Cross-Site Scripting به سایت مورد نظر بشه

برای غیر فعال کردن سرویس

TRACE and TRACK و جلوگیری از حملات xss یا Cross-Site Scripting

داخل فایل htaccess کد زیر رو وارد کنید

.

# disable TRACE and TRACK in the main scope of httpd.conf
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* – [F]
…
<VirtualHost www.example.com>
…
# disable TRACE and TRACK in the www.example.com virtual host
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* – [F]
</VirtualHost>
#

موفق باشید

Share this post


Link to post
Share on other sites
آموزش ووکامرس قالب جوملا قالب وردپرس قالب رایگان وردپرس قالب رایگان جوملا هاست نامحدود هاست جوملا هاست لاراول هاست وردپرس هاست ارزان هاست ربات تلگرام خرید دامنه آموزش ساخت ربات تلگرام با php آموزش لاراول آموزش cPanel آموزش php آموزش فرم ساز RSform آموزش ساخت ربات جذب ممبر آموزش ساخت ربات دوستیابی آموزش ساخت ربات فروشگاهی برای ووکامرس آموزش طراحی سایت داینامیک با php آموزش بخش پشتیبانی با rsticket

من بلد نبودم اين كدا كجاي اين فايل كپي پيس كنم همين طوري يجاي اين فايل بين نوشته ها پيسش كردم از نظر شما كه ايرادي نداره جواب بديد با تشكر

Share this post


Link to post
Share on other sites

کدها رو در آخر فایل فایل htaccess پیست کنید

منظورتو از بین نوشته ها نفهمیدم!

Share this post


Link to post
Share on other sites

با تشكر من وقتي اين كد ها را اضافه مي كنم سايت نمي ياد بالا ارور 500 مي ده مي شه يك فايل ازش برا دانلود بزاريد من اپلودش كنم توي هاست

Share this post


Link to post
Share on other sites

درود

میتونید از مدیر سرورتون هم بخواید که این ماژول رو کلا غیر فعال کنه دوست عزیز

چون این کد سمت سرور هست و اگه خطا میده ممکنه مدیر سرور دسترسی رو براش بسته باشه

Share this post


Link to post
Share on other sites

سلام اقا پويا با تشكر هيچ مشكلي نبود من كد را اشتباهي كپي پيس مي كردم امروز شد بازم باتشكر

اقا پويان اگه كاراي ديگه اي هم هس كه براي بالا بردن امنيت سايتم انجام بدم مي شه بگيد بجز مقالات فايل h. كه همشون را انجام دادم

Share this post


Link to post
Share on other sites

درود

تاپیک ارتقای امنیت سایت رو هم مطالعه کنید و لا تاپیک امنیت رو مرتب پیگیر باشید چون مرتبا بروز میشن

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری