보안 불필요한 HTTP Method 차단

구피천사 2019.04.01 10:52 조회 수 : 532

CMD창에

telnet ip주소 port ( telnet 10.10.10.10 8080) 을 치면 cmd창이 깜박이는 커서가 나온다.

OPTIONS /index.jsp HTTP/1.1

Host: ip주소

을 입력하면 허용되어 있는 METHOD 리스트가 나옵니다.

Apache 에서 차단 httpd.conf 에서

TraceEnable off 로 설정

Order allow, deny

Deny from all

</LimitExcept>

</Directory>

Order allow, deny

Allow from all

</LimitExcept>

</Directory>

Tomcat, WEBLOGIC등

메소드를 차단하기 위해서는 ./tomcat/conf/web.xml ./WEB-INF/web.xml 에 아래 코드를 추가한다.

	
			1
2
3
4
5
6
7
8
9
10
11
12
13

			<security-constraint>
        <display-name>Forbidden</display-name>
        <web-resource-collection>
            <web-resource-name>Forbidden</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>HEAD</http-method>
            <http-method>DELETE</http-method>
            <http-method>TRACE</http-method>
            <http-method>OPTIONS</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name></role-name>
        </auth-constraint>
    </security-constraint>

			cs
		

 
 
DELETE /index.jsp HTTP/1.1
Host: ip주소
실행하면
 
HTTP/1.1 403 Forbidden 이뜬다.
 
 

Method, Delete, Head, OPTIONS, trace, 이 게시물을

번호	제목	날짜	조회 수
144	top을 통해 살펴보는 프로세스 정보들	2020.03.04	2
143	netstat	2020.02.05	55
142	Linux Cache Memory Clear	2020.01.20	50
141	ThreadDump 분석	2020.01.02	82
140	Apache나, Tomcat 버젼 노출 취약점	2019.12.09	194
139	NetBackup Port Open	2019.11.21	163
138	CSQL 인터프리터 사용방법	2019.11.04	133
137	서버 취약점 점검	2019.10.30	264
136	OSI (Open System Interconnection) 모델의 7개 계층구조	2019.09.10	131
135	IPsec 동작모드	2019.09.06	89
»	불필요한 HTTP Method 차단	2019.04.01	532
133	정보보안 국가기술자격검정 최종합격자 현황 [1]	2019.03.26	106
132	정보보안 국가기술자격 출제기준 개정 안내	2019.03.26	86
131	Restore Database And Rename Database Files Example	2019.03.25	744
130	개인정보 안전성 확보조치 기준 해설서개인 정보 보호	2019.03.20	151

쓰기 태그

첫 페이지 1 2 3 4 5 6 7 8 9 10 끝 페이지

보안 불필요한 HTTP Method 차단

댓글 0

LOGIN