보안 불필요한 HTTP Method 차단

구피천사 2019.04.01 10:52 조회 수 : 792

CMD창에

telnet ip주소 port ( telnet 10.10.10.10 8080) 을 치면 cmd창이 깜박이는 커서가 나온다.

OPTIONS / HTTP/1.0

엔터 2번

을 입력하면 허용되어 있는 METHOD 리스트가 나옵니다.

Apache 에서 차단 httpd.conf 에서

TraceEnable off 로 설정

Order allow, deny

Deny from all

</LimitExcept>

</Directory>

Order deny, allow

Allow from all

</Limit>

</Directory>

Tomcat, WEBLOGIC등

메소드를 차단하기 위해서는 ./tomcat/conf/web.xml ./WEB-INF/web.xml 에 아래 코드를 추가한다.

<security-constraint>

        <display-name>Forbidden</display-name>

        <web-resource-collection>

            <web-resource-name>Forbidden</web-resource-name>

            <url-pattern>/*</url-pattern>

            <http-method>PUT</http-method>

            <http-method>HEAD</http-method>

            <http-method>DELETE</http-method>

            <http-method>TRACE</http-method>

            <http-method>OPTIONS</http-method>

        </web-resource-collection>

        <auth-constraint />

    </security-constraint>

OPTIONS / HTTP/1.0
실행하면
 
HTTP/1.1 403 Forbidden 이뜬다. 혹은 에러페이지 뜸

Method, Delete, Head, OPTIONS, trace, 이 게시물을

번호	제목	날짜	조회 수
136	OSI (Open System Interconnection) 모델의 7개 계층구조	2019.09.10	169
135	IPsec 동작모드	2019.09.06	129
»	불필요한 HTTP Method 차단	2019.04.01	792
133	정보보안 국가기술자격검정 최종합격자 현황 [1]	2019.03.26	131
132	정보보안 국가기술자격 출제기준 개정 안내	2019.03.26	106
131	Restore Database And Rename Database Files Example	2019.03.25	2408
130	개인정보 안전성 확보조치 기준 해설서개인 정보 보호	2019.03.20	175
129	시스템 개발·운영자를 위한 개인정보보호 가이드라인	2019.03.20	164
128	정보보호시스템 구축을 위한 실무가이드	2019.03.20	371
127	주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드	2019.03.20	255
126	HP-UX networking - 11.31 10G NIC	2019.03.19	657
125	TCP/IP Tuning parameter	2019.03.15	1361
124	hpux cmsnmpd daemon 중지	2019.02.28	187
123	아파치 2.2.29 버젼에서 SSLProtocol 중 TLSv1.2로 설정	2019.02.27	2733
122	usage: raspistill [options] - Image parameter commands	2018.11.15	850

쓰기 태그

첫 페이지 1 2 3 4 5 6 7 8 9 10 끝 페이지

댓글 0