martedì 7 agosto 2018

Disabilitare metodo trace apache

Tags

Per poter mettere più in sicurezza il proprio server web, che sia wamp sotto windows o lamp sotto linux, o altro, una delle best practice è quella di disabilitare il metodo trace di apache.

Il trace method sostanzialmente traccia una richiesta, visualizzando come viene trattata dal server.
Non è argomento di questo post indagare su come gli hacker/cracker sfruttino questo metodo per attaccare i server contenenti i siti internet, ma vediamo invece come correre ai ripari.


Come verificare se il metodo trace è attivo


Innanzitutto vediamo come verificare se sul nostro server apache il metodo trace è attivo oppure no.
Basta aprire il prompt di comandi di windows (o qualsiasi dos shell), lanciare telnet passandogli l'host e la porta (es. telnet localhost 80), e digitare/incollare i seguenti comandi:

TRACE / HTTP/1.0
Host: ip-server
TestA: Ciao
TestB: Mondo


E committarli dando doppio invio (almeno con telnet di windows).
Se a video verranno riportati i dati immessi, senza errori, allora il metodo trace è attivo.

Disabilitare metodo trace apache


Come disabilitare il metodo trace su apache


Bene, appurato che il terribile metodo trace è attivo sul nostro server apache, vediamo subito come disattivarlo.

Online c'è chi dice di verificare che il modulo mod_rewrite in httpd.conf sia attivo, controllando che la seguente riga sia presente e che non sia commentata:
LoadModule  rewrite_module  "/usr/local/apache/modules/mod_rewrite.so"

Per poi aggiungere in httpd.conf le seguenti righe di configurazione:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]


A mio avviso però, il metodo più veloce per disattivare il trace method di apache è quello di aggiungere in httpd.conf la seguente riga:

TraceEnable Off

Dopo aver riavviato apache (o wamp), e ripetendo il controllo con telnet, riceveremo a video il seguente messaggio di errore: "The requested method TRACE is not allowed for the URL..." o banalmente "405 method not allowed".

E' tutto, da ora in poi il nostro sito internet non potrà subire danni a causa di un attacco che sfrutta il metodo trace.

Piaciuto l'articolo? Lascia un commento!

EmoticonEmoticon