Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 모의해킹
- CI
- opentelemetry
- Monitoring
- helm
- 스크레이핑
- 크롤링
- Jenkins
- 웹 취약점
- GitLab
- docker
- sonarqube
- argocd
- CD
- deploy
- Crawling
- linkerd
- gitlab ci
- Grafana
- CI/CD
- DevOps
- ECR
- Resource
- Kubernetes
- eks
- 웹 해킹
- gitlab cd
- Prometheus
- Service Mesh
- scraping
Archives
- Today
- Total
ㅡ.ㅡ
[WEB] 불 필요한 Method 지원 본문
불 필요한 Method지원
일반적으로 사용하는 HTTP의 메소드 중 GET, POST 메소드 이외의 웹 서버 내에 컨텐츠를 생성하는 PUT, 컨텐츠를 삭제하는 DELETE, 관리 및 디버깅에 사용되는 TRACE 등의 불필요한 메소드를 허용하는 취약점이다.
※ 실습
웹 프록시 도구를 사용해서 demo.testfire.net 사이트의 HTTP METHOD를 점검한 결과 GET, POST외에 다양한 메소드가 허용된것을 확인할 수 있다.
▼
※ 대응 방안
| 아파치 - httpd.conf(제한할 메소드 정의) | 톰캣 - web.xml |
<Directory /home> <Limit PUT DELETE OPTIONS> Order allow,deny Allow from all </Limit> </Directory> |
<security-constraint> <web-resource-collection> <web-resource-name></web-resource-name> <url-pattern>/*</url-pattern> <http-method>HEAD</http-method> <http-method>DELETE</http-method> <http-method>PUT</http-method> <http-method>OPTIONS</http-method> </web-resource-collection> </security-constraint> |
'Security' 카테고리의 다른 글
| [WEB] 데이터 평문 전송 (0) | 2019.02.09 |
|---|---|
| [WEB] XSS (0) | 2019.02.08 |
| [WEB] 검증되지 않은 리다이렉트 취약점 (0) | 2019.02.07 |
| [WEB] HTTP 응답 보안 헤더 (0) | 2019.02.07 |
| [WEB] OWASP (0) | 2018.02.28 |
'Security' Related Articles
more
