728x90
반응형
HTTP Method를 통한 공격 방지를 위하여 차단여부에 대해 알아보겠습니다.
기존 포스팅으로 Apache에 대한 설정여부에 대하여 포스팅 하였고, 그 때 포스팅한 IIS 방법으로 조치가 되지 않는다는 업무팀이 존재하여 다른 방법을 다시 포스팅합니다.
https://itinformation.tistory.com/101
HTTP 불필요한 웹 메서드 차단 방법
HTTP 불필요(보안에 취약한) Web Method 차단 방법 입니다. 1. httpd.conf 파일에 설정 Order allow,deny deny from all -> 근데 이 방법은 설정한 디렉터리에..
itinformation.tistory.com
다른 취약점에 대한 설정들과 마찬가지로, 차단할 메서드를 적는 것이아닌, 허용할 메서드를 적어주는 편이 보안상 좋습니다.
- web.config 파일내 설정 변경 (IIS 8점대)
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Allow" value="GET,POST,HEAD" />
<add name="Public" value="GET,POST,HEAD" />
</customHeaders>
</httpProtocol>
</system.webServer>
또는 차단 메서드 설정 시
<system.webServer>
<security>
<requestFiltering>
<verbs allowUnlisted="true">
<add verb="TRACE" allowed="false" />
</verbs>
</requestFiltering>
</security>
</system.webServer>
- web.config 파일내 설정 변경 (IIS 7점대)
<security>
<requestFiltering allowDoubleEscaping="false">
<requestLimits maxAllowedContentLength="4294967295" />
<verbs>
<add verb="HEAD" allowed="false" />
<add verb="OPTIONS" allowed="false" />
<add verb="PUT" allowed="false" />
<add verb="DELETE" allowed="false" />
<add verb="TRACE" allowed="false" />
</verbs>
<!-- 4GB -->
</requestFiltering>
</security>
위와 같이 설정합니다.
자세한 내용은
참조
728x90
반응형
'보안 공부 > Web 보안' 카테고리의 다른 글
| 웹서버 web editor 취약점 및 샘플페이지 (0) | 2019.08.13 |
|---|---|
| 서버 정보 노출 차단2(Tomcat, Jetty 서버) (0) | 2019.08.08 |
| SQL Injection 취약점 (0) | 2019.08.06 |
| 취약한 웹 어플리케이션 DVWA를 통한 취약점 진단_SQL Injection (0) | 2019.07.25 |
| 취약한 웹 어플리케이션 DVWA를 통한 취약점 진단_XSS공격 (29) | 2019.07.19 |