TRACE HTTP 메소드 활성화됨
설명
디버그 TRACE 메소드가 대상 웹 서버에서 활성화된 것으로 나타났습니다. 이 HTTP 메소드는 HTTP 요청 데이터를 사용자에게 응답으로 반영합니다. 특정 경우에 이 정보에는 중간 프록시에서 적용된 민감한 데이터가 포함될 수 있습니다.
수정 사항
TRACE HTTP 메소드는 디버깅 용도로만 사용되며 프로덕션 사이트에서 활성화되어서는 안 됩니다.
Apache 기반 웹 서버의 경우 TraceEnable
지시어가 제거되었거나 off
로 설정되어 있는지 확인하세요.
Microsoft 서버의 경우 아래 레지스트리 키에서 “EnableTraceMethod”라는 이름의 레지스트리 매개변수를 제거하세요:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
모든 기타 서버 유형의 경우 TRACE 메소드를 비활성화하는 방법에 대해서는 제품 문서를 참조하세요.
세부 정보
ID | 집계 | CWE | 유형 | 위험 |
---|---|---|---|---|
16.11 | false | 16 | Active | high |