보안 불필요한 HTTP Method 차단

구피천사 2019.04.01 10:52 조회 수 : 15

CMD창에

telnet ip주소 port ( telnet 10.10.10.10 8080) 을 치면 cmd창이 깜박이는 커서가 나온다.

OPTIONS /index.jsp HTTP/1.1

Host: ip주소

을 입력하면 허용되어 있는 METHOD 리스트가 나옵니다.

Apache 에서 차단 httpd.conf 에서

TraceEnable off 로 설정

Order allow, deny

Deny from all

</LimitExcept>

</Directory>

Order allow, deny

Allow from all

</LimitExcept>

</Directory>

Tomcat, WEBLOGIC등

메소드를 차단하기 위해서는 ./tomcat/conf/web.xml ./WEB-INF/web.xml 에 아래 코드를 추가한다.

	
			1
2
3
4
5
6
7
8
9
10
11
12
13

			<security-constraint>
        <display-name>Forbidden</display-name>
        <web-resource-collection>
            <web-resource-name>Forbidden</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>HEAD</http-method>
            <http-method>DELETE</http-method>
            <http-method>TRACE</http-method>
            <http-method>OPTIONS</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name></role-name>
        </auth-constraint>
    </security-constraint>

			cs
		

 
 
DELETE /index.jsp HTTP/1.1
Host: ip주소
실행하면
 
HTTP/1.1 403 Forbidden 이뜬다.
 
 

Method, Delete, Head, OPTIONS, trace, 이 게시물을

번호	제목	날짜	조회 수
»	불필요한 HTTP Method 차단	2019.04.01	15
133	정보보안 국가기술자격검정 최종합격자 현황	2019.03.26	5
132	정보보안 국가기술자격 출제기준 개정 안내	2019.03.26	5
131	Restore Database And Rename Database Files Example	2019.03.25	9
130	개인정보 안전성 확보조치 기준 해설서개인 정보 보호	2019.03.20	18
129	시스템 개발·운영자를 위한 개인정보보호 가이드라인	2019.03.20	6
128	정보보호시스템 구축을 위한 실무가이드	2019.03.20	6
127	주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드	2019.03.20	9
126	HP-UX networking - 11.31 10G NIC	2019.03.19	9
125	TCP/IP Tuning parameter	2019.03.15	17
124	hpux cmsnmpd daemon 중지	2019.02.28	9
123	아파치 2.2.29 버젼에서 SSLProtocol 중 TLSv1.2로 설정	2019.02.27	18
122	usage: raspistill [options] - Image parameter commands	2018.11.15	35
121	[python] MySQL 사용법 예제	2018.10.23	43
120	netcat	2018.10.08	76

쓰기 태그

첫 페이지 1 2 3 4 5 6 7 8 9 끝 페이지

보안 불필요한 HTTP Method 차단

댓글 0

LOGIN