آموزش هوشمند امنیت و طراحی وب

  • تکنولوژی های وب و ترندهای وردپرس
صفحه اصلیامنیت وردپرسغیرفعال سازی متد HTTP Trace در وردپرس

غیرفعال سازی متد HTTP Trace در وردپرس

نویسنده: رضا دهقان | تاریخ انتشار: ۱۳۹۸/۰۸/۲۰ | دسته بندی: امنیت وردپرس|

Disable HTTP Trace Method

متد TRACE در پروتکل HTTP این اجازه را به کاربر می دهد تا یک نسخه از Request خود را مشاهده و برای تست و یا تشخیص اطلاعات استفاده کند.(این درخواست در انتهای ادامه درخواست دریافت می شود). روش TRACK HTTP مثل روش  TRACE عمل می کند ولی برای وب سرورهای IIS مایکروسافت طراحی‌شده است.

حملات XST می‌توانند به‌عنوان یک روش برای سرقت کوکی‌های کاربر از طریق حملات XSS استفاده شود.

حمله‌ XST شامل استفاده از حملات Cross-Site Scripting(XSS) و روش TRACE یا TRACK HTTP است.

در سال ۲۰۰۳، هکرها در تلاش برای دور زدن تگ HttpOnly که برای محافظت کوکی‌ها از دسترسی به‌وسیله‌ی جاوا اسکریپت بودند، توانستند حملات XST را کشف کنند. در حقیقت یکی از الگوهای تکراری در حمله‌ XSS، دسترسی به شی‌ء document.cookie است و سعی می کند تا این شی را به یک وب سرور تحت کنترل هکر ارسال کرده و درنتیجه هکر نشست (Session) قربانی را سرقت کند.

متد TRACE بی‌خطر است، اما می‌تواند در برخی از موارد موجب سرقت اعتبارنامه‌ کاربران مجاز شود. برچسب کردن یک کوکی با استفاده از تگ HttpOnly، جاوا اسکریپت را برای دسترسی به کوکی ممنوع کرده و از ارسال آن برای یک شخص ثالث دیگر متوقف خواهد ساخت. بااین‌حال روش TRACE برای دور زدن مکانیسم حفاظتی HttpOnly و دسترسی به کوکی توسط هکر استفاده خواهد شد.

با این حال، HTTP TRACE یک ویژگی کاربردی پیش فرض در اکثر سرویس دهنده ها است. هکرهایی که از XST استفاده می کنند، معمولاً با استفاده از درخواست هدر، کوکی و سایر اطلاعات حساس را سرقت می کنند. می توانید با قرار دادن کد زیر در فایل .htaccess عملکرد ردیابی را در وب سایت خود غیرفعال کنید.

 

بیشتر بخوانید

140 بازدید


اشتراک گذاری کنید:


رضا دهقان

رضا دهقان اینستاگرام
طراح و توسعه دهنده وب | فارغ التحصیل مهندسی امنیت اطلاعات

  • دیدگاه های ارسال شده توسط شما، پس از تایید توسط تیم مدیریت در وب منتشر خواهد شد.
  • پیام هایی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • پیام هایی که به غیر از زبان فارسی یا غیر مرتبط باشد منتشر نخواهد شد.


هنوز دیدگاهی ارسال نشده! نظر شما چیست؟