TRACE dans apache 2 - La page de GnunuX

Je viens de reinstaller nikto (1) juste pour ... tester mon serveur.

La première chose à faire est évidement de mettre à jour les règles :

./nikto.pl -update

et enfin je lance la commande :

./nikto.pl -host localhost

Au milieu de quelques alertes ... fausses, je vois :

+ HTTP method 'TRACE' is typically only used for debugging.
It should be disabled. OSVDB-877.

Voilà qui me pousse à comprendre à quoi sert ... la méthode "TRACE".

En cherchant un peu, je vois (2) :

TRACE est une méthode employée pour le débogage. Le serveur renvoie, dans le corps de la réponse, le contenu exact qu’il a reçu du client. Ceci permet de comprendre, en particulier, ce qui se passe lorsque la requête transite par plusieurs serveurs intermédiaires.

Un petit test :

[gnunux@myhost ~"]$ telnet gnunux.info 80
Trying 82.225.169.60...
Connected to gnunux.info.
Escape character is '^]'.
TRACE / HTTP/1.0
Host: foo
A: b
C: d

HTTP/1.1 200 OK
Date: Sun, 30 Apr 2006 18:43:32 GMT
Server: Apache
Connection: close
Content-Type: message/http

TRACE / HTTP/1.0
Host: foo
A: b
C: d

Connection closed by foreign host.
[gnunux@myhost ~"]$

Bref, la méthode ne sert à rien pour moi. Ce n'est pas si évident que cela à trouvé comment le désactiver, mais j'ai trouvé (ca fonctionne sur apache 2 en tout cas) dans le fichier de configuration de apache :

TraceEnable "off"

Et voici maintenant :

[gnunux@myhost ~"]$ telnet gnunux.info 80
Trying 82.225.169.60...
Connected to gnunux.info.
Escape character is '^]'.
TRACE / HTTP/1.0
Host: foo
A: b
C: d

HTTP/1.1 403 Forbidden
Date: Sun, 30 Apr 2006 19:06:10 GMT
Server: Apache
Content-Length: 255
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /
on this server.</p>
<hr>
<address>Apache Server at foo Port 80</address>
</body></html>
Connection closed by foreign host.
[gnunux@myhost ~"]$

2 réactions