The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Apache  Nessus и Xspider (не пойму прикола) "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Apache  Nessus и Xspider (не пойму прикола) " 
Сообщение от nece Искать по авторуВ закладки on 27-Окт-04, 00:50  (MSK)
Мужики помогите разобраться, не пойму что за шутка.
На нескольких внутренних серваках стоит Apache 1.3.32 с модулями:

#./httpd -l
Compiled-in modules:
http_core.c
mod_log_config.c
mod_mime.c
mod_dir.c
mod_cgi.c
mod_alias.c
mod_access.c
mod_auth.c
mod_ssl.c
mod_security.c
mod_perl.c
suexec: disabled; invalid wrapper /usr/local/apache/bin/suexec


При проверке сканерами безопастности (NeWT и Xspider) по полной,
получил следующее сообщение и инструкции к исправлению:

Your webserver supports the TRACE and/or TRACK methods. TRACE and TRACK
are HTTP methods which are used to debug web server connections.
It has been shown that servers supporting this method are subject
to cross-site-scripting attacks, dubbed XST for
"Cross-Site-Tracing", when used in conjunction with
various weaknesses in browsers.
An attacker may use this flaw to trick your
legitimate web users to give him their
credentials.


Solution: Disable these methods.


If you are using Apache, add the following lines for each virtual
host in your configuration file :

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

Добавляю приведённые строки

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

в конфиг в общий раздел виртуальных серверов,
сохраняю, проверяю синтаксис
./httpd -t
./httpd -T
всё ок, но при перезапуске апача получаю:

#./apachectl startssl
Syntax error on line 372 of /usr/local/apache/conf/httpd.conf:
Invalid command 'RewriteEngine', perhaps mis-spelled or defined by a module not included in the server configuration
#./apachectl startssl: httpd could not be started

Если я правильно понял, то эта бага проявляется при включённом
модуле mod_rewrite, но как они нешли её у меня если у меня нету этого модуля?

Как правильно поступить?

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Apache  Nessus и Xspider (не пойму прикола) " 
Сообщение от bass Искать по авторуВ закладки(??) on 27-Окт-04, 06:50  (MSK)
>Если я правильно понял, то эта бага проявляется при включённом
>модуле mod_rewrite, но как они нешли её у меня если у меня
>нету этого модуля?
>
неправильно поняли. это не баг, а фича: данные вызовы используются для отладки, а модулем rewrite вы просто будете игнорировать такие запросы.

>Как правильно поступить?

LoadModule rewrite_module

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру