IdP安全性加强措施说明

Owned by carsi_pku_team
Sept 03, 2021

近期有学校对IdP进行安全评估,评估结果会提示存在两个安全风险,具体如下:

1、中危漏洞

漏洞名称

允许TRACE方法

漏洞描述

弱点描述:TRACE是一种HTTP方法,允许TRACE方法的Web服务器存在跨站脚本漏洞。实施攻击要素:[1]需要目标Web服务器允许TRACE参数;[2]需要一个用来插入XST代码的地方;[3]目标站点存在跨域漏洞。

修复建议

1、如果apache httpd 版本为 1.3.34、2.0.55 或其他 2.2 版,可以直接修改httpd.conf文件。

      编辑 /etc/httpd/httpd.conf文件,加入以下内容:

TraceEnable off

2、如果apache httpd 版本非第一种情况,需修改mod_rewrite规则。

    编辑 /etc/httpd/httpd.conf文件,加入以下内容:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]

3、重启 apache httpd

2、低危漏洞

漏洞名称

开启options方法

漏洞描述

弱点描述:Web服务器配置为允许使用危险的HTTP方法,如PUTMOVECOPYDELETEPROPFINDSEARCHMKCOLLOCKUNLOCKPROPPATCH,该配置可能允许未授权的用户对Web服务器进行敏感操作。

修复建议参见上一问题的修复方案中第2条。其中“OPTIONS”表明禁用options。

参考文章

  1. https://www.techstacks.com/howto/disable-tracetrack-in-apache-httpd.html
  2. https://ubiq.co/tech-blog/how-to-disable-http-options-methods-in-apache/




版权所有©北京大学计算中心