본문 바로가기

개발/보안

[보안] 불필요한 메서드 제거

✅ 불필요한 Method로 인한 중요정보를 획득하는 공격

 

 

 취약점 발견 내용

불필요한 Method를 사용하는 것을 확인. GET, POST, HEAD를 제외한 나머지 불필요한 Method를 전부 추가하여 Disable 조치 필요.

 

  조치 내용

  • OPTION/ DELETE 메서드 제거
  • redirection 에러페이지 (302) 통일

✔️ Apache-tomcat을 사용하는 경우 ~/conf/web.xml 파일 변경

<security-constraint>
  <display-name>Forbidden</display-name>
  <web-resource-collection>
    <web-resource-name>Protected Context</web-resource-name>
    <url-pattern>/*</url-pattern>
    <http-method>OPTION</http-method>
    <http-method>DELETE</http-method>
    <http-method>TRACE</http-method>
    <http-method>CONNECT</http-method>
  </web-resource-collection>
  <auth-constraint></auth-constraint>
</security-constraint>

 

'개발 > 보안' 카테고리의 다른 글

[보안] XSS 공격 이란?  (1) 2020.09.19
[보안] SQL 인젝션  (0) 2020.09.16