在最近对我的一个客户进行的 PCIDSS 扫描中,我发现了Web 服务器 HTTP 跟踪/跟踪方法支持跨站点跟踪漏洞( CVE-2004-2320
, CVE-2007-3008
)。针对 Apache 的建议缓解措施是:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
</IfModule>
我怎样才能在 Lighttpd 中实现同样的目标?
非常感谢您的帮助!
有关lighttpd 识别的 HTTP 方法列表,请参阅src/keyvalue.c 。默认配置支持其中的一个子集。