在最近为我的一位客户进行的 PCIDSS 扫描中,我意识到Web 服务器 HTTP 跟踪/跟踪方法支持跨站点跟踪漏洞(CVE-2004-2320,CVE-2007-3008)。针对 Apache 的建议缓解措施如下:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
</IfModule>
我如何在 Lighttpd 中实现相同的功能?
非常感谢您的帮助!
答案1
看src/键值.c查看 lighttpd 识别的 HTTP 方法列表。默认配置支持其中的一部分。