HTTP TRACE 受允许
low Web App Scanning 插件 ID 98048
语言:
简介
HTTP TRACE 受允许描述
HTTP TRACE 方法可让客户端向服务器发送请求,并让服务器在响应中传回相同的请求。客户端可借此确定服务器是否在按预期接收请求。此方法通常用于调试目的(例如,验证请求是否未经改动地到达服务器端)。在许多默认安装中,TRACE 方法仍处于启用状态。
虽然其本身不易受到攻击,但它确实为网络攻击者提供了绕过 HTTPOnly Cookie 标记的方法,因此可能导致 XSS 攻击成功获取会话标记。
扫描程序已发现受影响的页面允许使用 HTTP TRACE 方法。
解决方案
生产站点内通常不需要 HTTP TRACE 方法,因此应禁用。另见
插件详情
严重性: Low
ID: 98048
类型: remote
系列: Web Servers
发布时间: 2017/3/31
最近更新时间: 2022/4/6
扫描模板: api, basic, full, pci, scan
风险信息
VPR
风险因素: Low
分数: 2.2
CVSS v2
风险因素: Low
基本分数: 2.6
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N
CVSS 分数来源: Tenable
CVSS v3
风险因素: Low
基本分数: 3.1
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N
CVSS 分数来源: Tenable
CVSS v4
风险因素: Low
Base Score: 2.1
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
CVSS 分数来源: Tenable