You cannot see this page without javascript.

메뉴 건너뛰기

WHKorea

보안 불필요한 HTTP Method 차단

구피천사 2019.04.01 10:52 조회 수 : 78

CMD창에 

telnet ip주소 port ( telnet 10.10.10.10 8080) 을 치면 cmd창이 깜박이는 커서가 나온다.

 

OPTIONS /index.jsp HTTP/1.1

Host: ip주소

을 입력하면 허용되어 있는 METHOD 리스트가 나옵니다.

 

 

Apache 에서 차단 httpd.conf 에서

 

TraceEnable off 로 설정

 

<Directory />

     <LimitExcept GET POST>

     Order allow, deny

     Deny from all

     </LimitExcept>

</Directory>

 

or

 

<Directory />

     <Limit GET POST>

     Order allow, deny

     Allow from all

     </LimitExcept>

</Directory>

 

 

 

Tomcat, WEBLOGIC등

메소드를 차단하기 위해서는 ./tomcat/conf/web.xml ./WEB-INF/web.xml 에 아래 코드를 추가한다.

 

 

 

1
2
3
4
5
6
7
8
9
10
11
12
13
<security-constraint>
        <display-name>Forbidden</display-name>
        <web-resource-collection>
            <web-resource-name>Forbidden</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>HEAD</http-method>
            <http-method>DELETE</http-method>
            <http-method>TRACE</http-method>
            <http-method>OPTIONS</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name></role-name>
        </auth-constraint>
    </security-constraint>
cs

 

 

DELETE /index.jsp HTTP/1.1

Host: ip주소

실행하면

 

HTTP/1.1 403 Forbidden 이뜬다.

 

 

 

 

위로