보안 불필요한 HTTP Method 차단

구피천사 2019.04.01 10:52 조회 수 : 78

CMD창에

telnet ip주소 port ( telnet 10.10.10.10 8080) 을 치면 cmd창이 깜박이는 커서가 나온다.

OPTIONS /index.jsp HTTP/1.1

Host: ip주소

을 입력하면 허용되어 있는 METHOD 리스트가 나옵니다.

Apache 에서 차단 httpd.conf 에서

TraceEnable off 로 설정

Order allow, deny

Deny from all

</LimitExcept>

</Directory>

Order allow, deny

Allow from all

</LimitExcept>

</Directory>

Tomcat, WEBLOGIC등

메소드를 차단하기 위해서는 ./tomcat/conf/web.xml ./WEB-INF/web.xml 에 아래 코드를 추가한다.

	
			1
2
3
4
5
6
7
8
9
10
11
12
13

			<security-constraint>
        <display-name>Forbidden</display-name>
        <web-resource-collection>
            <web-resource-name>Forbidden</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>HEAD</http-method>
            <http-method>DELETE</http-method>
            <http-method>TRACE</http-method>
            <http-method>OPTIONS</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name></role-name>
        </auth-constraint>
    </security-constraint>

			cs
		

 
 
DELETE /index.jsp HTTP/1.1
Host: ip주소
실행하면
 
HTTP/1.1 403 Forbidden 이뜬다.
 
 

Method, Delete, Head, OPTIONS, trace, 이 게시물을

번호	제목	날짜	조회 수
»	불필요한 HTTP Method 차단	2019.04.01	78
133	정보보안 국가기술자격검정 최종합격자 현황	2019.03.26	19
132	정보보안 국가기술자격 출제기준 개정 안내	2019.03.26	14
131	Restore Database And Rename Database Files Example	2019.03.25	96
130	개인정보 안전성 확보조치 기준 해설서개인 정보 보호	2019.03.20	32
129	시스템 개발·운영자를 위한 개인정보보호 가이드라인	2019.03.20	18
128	정보보호시스템 구축을 위한 실무가이드	2019.03.20	19
127	주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드	2019.03.20	30
126	HP-UX networking - 11.31 10G NIC	2019.03.19	59
125	TCP/IP Tuning parameter	2019.03.15	77
124	hpux cmsnmpd daemon 중지	2019.02.28	19
123	아파치 2.2.29 버젼에서 SSLProtocol 중 TLSv1.2로 설정	2019.02.27	52
122	usage: raspistill [options] - Image parameter commands	2018.11.15	120
121	[python] MySQL 사용법 예제	2018.10.23	70
120	netcat	2018.10.08	132

쓰기 태그

첫 페이지 1 2 3 4 5 6 7 8 9 끝 페이지

보안 불필요한 HTTP Method 차단

댓글 0

LOGIN