You cannot see this page without javascript.

진주성 블로그 방문하기

보안 불필요한 HTTP Method 차단

2019.04.01 19:52

구피천사 조회 수:1166

CMD창에 

telnet ip주소 port ( telnet 10.10.10.10 8080) 을 치면 cmd창이 깜박이는 커서가 나온다.

 

OPTIONS / HTTP/1.0

엔터 2번

 

을 입력하면 허용되어 있는 METHOD 리스트가 나옵니다.

 

 

Apache 에서 차단 httpd.conf 에서

 

TraceEnable off 로 설정

 

<Directory />

     <LimitExcept GET POST>

     Order allow, deny

     Deny from all

     </LimitExcept>

</Directory>

 

or

 

<Directory />

     <Limit GET POST>

     Order deny, allow

     Allow from all

     </Limit>

</Directory>

 

 

 

Tomcat, WEBLOGIC등

메소드를 차단하기 위해서는 ./tomcat/conf/web.xml ./WEB-INF/web.xml 에 아래 코드를 추가한다.

 

<security-constraint>
        <display-name>Forbidden</display-name>
        <web-resource-collection>
            <web-resource-name>Forbidden</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>HEAD</http-method>
            <http-method>DELETE</http-method>
            <http-method>TRACE</http-method>
            <http-method>OPTIONS</http-method>
        </web-resource-collection>
        <auth-constraint />
    </security-constraint>
 

OPTIONS / HTTP/1.0

실행하면

 

HTTP/1.1 403 Forbidden 이뜬다. 혹은 에러페이지 뜸

 

 

진주성 블로그 방문하기
CLOSE