보안 불필요한 HTTP Method 차단

2019.04.01 19:52

구피천사 조회 수:1167

CMD창에

telnet ip주소 port ( telnet 10.10.10.10 8080) 을 치면 cmd창이 깜박이는 커서가 나온다.

OPTIONS / HTTP/1.0

엔터 2번

을 입력하면 허용되어 있는 METHOD 리스트가 나옵니다.

Apache 에서 차단 httpd.conf 에서

TraceEnable off 로 설정

Order allow, deny

Deny from all

</LimitExcept>

</Directory>

Order deny, allow

Allow from all

</Limit>

</Directory>

Tomcat, WEBLOGIC등

메소드를 차단하기 위해서는 ./tomcat/conf/web.xml ./WEB-INF/web.xml 에 아래 코드를 추가한다.

<security-constraint>

        <display-name>Forbidden</display-name>

        <web-resource-collection>

            <web-resource-name>Forbidden</web-resource-name>

            <url-pattern>/*</url-pattern>

            <http-method>PUT</http-method>

            <http-method>HEAD</http-method>

            <http-method>DELETE</http-method>

            <http-method>TRACE</http-method>

            <http-method>OPTIONS</http-method>

        </web-resource-collection>

        <auth-constraint />

    </security-constraint>

OPTIONS / HTTP/1.0
실행하면
 
HTTP/1.1 403 Forbidden 이뜬다. 혹은 에러페이지 뜸

Method, Delete, Head, OPTIONS, trace, 이 게시물을

번호	제목	날짜	조회 수
64	Tibero test sql문, SCHEMA_OBJECT_SAMPLE	2023.10.25	9
63	Tibero 관리 3	2023.10.25	13
62	Red Hat Enterprise Linux Certification Matrix for Dell PowerEdge Servers	2023.11.02	14
61	tibero 7 install for linux	2023.11.06	20
60	Tibero 관리 2	2023.10.25	23
59	wmic useraccount list brief	2021.04.01	28
58	Tibero 접속 및 관리	2023.10.25	49
57	weblogic admin 패스워드 변경 방법	2021.04.06	59
56	SSL, IPSEC	2017.11.01	99
55	DDos 공격대응 가이드	2017.08.25	105
54	weblogic wlst 기반 암호화파일 복호화 (AES)	2021.04.06	110
53	Weblogic 보안설정	2017.08.25	111
52	디지털 컨텐츠 보호	2017.11.01	113
51	vsphere admin 문서 자료	2017.09.09	114
50	windows_2008_security_guide.pdf	2017.08.25	116
49	winscp for windows	2017.09.13	118
48	Ipsec for windows	2017.08.23	126
47	DNS (Domain Name Service)	2017.11.01	129
46	Ftp passive mode	2017.08.24	132
45	시만텍 ssr 백업	2017.08.23	141

첫 페이지 1 2 3 4 끝 페이지

쓰기

댓글 0