HTTP 불필요(보안에 취약한) Web Method 차단 방법 입니다.
1. httpd.conf 파일에 설정
<Directory>
<LimitExcept GET POST>
Order allow,deny
deny from all
</LimitExcept>
-> 근데 이 방법은 설정한 디렉터리에만 설정이 된다. 하위 디렉터리 마다 계속해서 설정해야하는 불편함이 있기에 대신에 아래와 같이 설정하면 하위까지 설정가능!
<Location />
<LimitExcetp GET POST>
Order deny, allow
Deny from all
</LimitExcept>
</Location>
2. web.xml
<security-constraint>
<web-resource-collection>
<web-resource-name>요긴랜덤 이름설정</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>TRACE</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<auth-constraint>
<roe-name></role-name>
</auth-constraint>
</security-constraint>
-> 차단할 메소드들을 설정해서 넣어줍니다.
3. IIS
윈도우 레지스트리 편지기를 통해 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\3SVC\Parameters에서 다음의 레지스트리 값을 추가합니다.
값 이름 : DisableWebDAV
데이터 형식 : DWORD
값 데이터 : 1
추가 :
Trace 메소드를 사용한 TRACE와 XST(Cross-site Tracing) 공격 :
'보안 공부 > Web 보안' 카테고리의 다른 글
| 취약한 웹 어플리케이션 DVWA를 통한 취약점 진단_SQL Injection (0) | 2019.07.25 |
|---|---|
| 취약한 웹 어플리케이션 DVWA를 통한 취약점 진단_XSS공격 (29) | 2019.07.19 |
| 서버버전 노출 대응방안 모음 (0) | 2019.01.02 |
| XSS (크로스사이트 스크립트, 크로스 사이트 스크립팅) 취약점 (3) | 2018.12.15 |
| HTTP 에러코드 (0) | 2018.12.06 |