Il trace method sostanzialmente traccia una richiesta, visualizzando come viene trattata dal server.
Non è argomento di questo post indagare su come gli hacker/cracker sfruttino questo metodo per attaccare i server contenenti i siti internet, ma vediamo invece come correre ai ripari.
Come verificare se il metodo trace è attivo
Innanzitutto vediamo come verificare se sul nostro server apache il metodo trace è attivo oppure no.
Basta aprire il prompt di comandi di windows (o qualsiasi dos shell), lanciare telnet passandogli l'host e la porta (es. telnet localhost 80), e digitare/incollare i seguenti comandi:
TRACE / HTTP/1.0
Host: ip-server
TestA: Ciao
TestB: Mondo
E committarli dando doppio invio (almeno con telnet di windows).
Se a video verranno riportati i dati immessi, senza errori, allora il metodo trace è attivo.
Come disabilitare il metodo trace su apache
Bene, appurato che il terribile metodo trace è attivo sul nostro server apache, vediamo subito come disattivarlo.
Online c'è chi dice di verificare che il modulo mod_rewrite in httpd.conf sia attivo, controllando che la seguente riga sia presente e che non sia commentata:
LoadModule rewrite_module "/usr/local/apache/modules/mod_rewrite.so"
Per poi aggiungere in httpd.conf le seguenti righe di configurazione:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
A mio avviso però, il metodo più veloce per disattivare il trace method di apache è quello di aggiungere in httpd.conf la seguente riga:
TraceEnable Off
Dopo aver riavviato apache (o wamp), e ripetendo il controllo con telnet, riceveremo a video il seguente messaggio di errore: "The requested method TRACE is not allowed for the URL..." o banalmente "405 method not allowed".
E' tutto, da ora in poi il nostro sito internet non potrà subire danni a causa di un attacco che sfrutta il metodo trace.
Lascia un commento!