Чтобы заняться эксплойтом OPTIONSBLEED, я думаю о различных методах.
Отключить ОПЦИИ HTTP-метод. Подать заявку CVE-2017-9798. CVE-2017-9798 не похоже на долгосрочное решение, поскольку защищает сервер от использования файлов .htaccess.
Более долгосрочное решение - отключить HTTP-метод OPTIONS в Apache Boxes.
Хотя, я не уверен, что с точки зрения клиента это повлияет на то, что OPTIONS HTTP метод был отключен?
Пожалуйста, укажите мне в правильном направлении.
Рекомендуемое исправление - обновить программное обеспечение сервера Apache. Ниже приводится цитата из разработчика Apache, которая проанализировала уязвимость:
Невозможно избежать этого дефекта с недоверенными / вредоносными авторами .htaccess без отключения файлов .htaccess, установки исправлений или обновления до версии 2.4.28.
Отключение OPTIONS не решит проблему. Фактически это может ухудшить ситуацию, поскольку проблема вызвана наличием методов HTTP в файле .htaccess , которые не настроены корневым веб-сервером.
