漏洞描述

攻击者可利用options方法获取服务器的信息，进而准备进一步攻击。

解决方案：

修改配置文件禁用options方法：

windows2008、windows2012，请在wwwroot目录建立，内容如下

windows 2003，打开控制面板-ISAPI筛选器-启用自定义重写组件，然后编辑，如果您已有其他规则，请添加到最上面

RewriteEngine on

RewriteCond %{THE_REQUEST} ^(OPTIONS)

RewriteRule .* - [F]

inux主机，在wwwroot目录下创建.htaccess文件，内容如下，如果您已有其他规则，请添加到最上面

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(OPTIONS)

RewriteRule .* - [F]

Apache配置文件中添加以下代码

单独禁用Trace方法：

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)

RewriteRule .* - [F]

单独禁用Options方法：

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(OPTIONS)

RewriteRule .* - [F]

同时禁用Trace方法和Options方法

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

RewriteRule .* - [F]