정보보안 스토리

HTTP Method를 통한 공격 방지를 위하여 차단여부에 대해 알아보겠습니다. 기존 포스팅으로 Apache에 대한 설정여부에 대하여 포스팅 하였고, 그 때 포스팅한 IIS 방법으로 조치가 되지 않는다는 업무팀이 존재하여 다른 방법을 다시 포스팅합니다. https://itinformation.tistory.com/101 HTTP 불필요한 웹 메서드 차단 방법 HTTP 불필요(보안에 취약한) Web Method 차단 방법 입니다. 1. httpd.conf 파일에 설정 Order allow,deny deny from all -> 근데 이 방법은 설정한 디렉터리에.. itinformation.tistory.com 다른 취약점에 대한 설정들과 마찬가지로, 차단할 메서드를 적는 것이아닌, 허용할 메서드를 적어주는..

HTTP 불필요(보안에 취약한) Web Method 차단 방법 입니다. 1. httpd.conf 파일에 설정 Order allow,deny deny from all -> 근데 이 방법은 설정한 디렉터리에만 설정이 된다. 하위 디렉터리 마다 계속해서 설정해야하는 불편함이 있기에 대신에 아래와 같이 설정하면 하위까지 설정가능! Order deny, allow Deny from all 2. web.xml 요긴랜덤 이름설정 /* PUT DELETE TRACE OPTIONS -> 차단할 메소드들을 설정해서 넣어줍니다. 3. IIS 윈도우 레지스트리 편지기를 통해 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\3SVC\Parameters에서 다음의 레지스트리 값을 추가..