✅ 불필요한 Method로 인한 중요정보를 획득하는 공격
▣ 취약점 발견 내용
불필요한 Method를 사용하는 것을 확인. GET, POST, HEAD를 제외한 나머지 불필요한 Method를 전부 추가하여 Disable 조치 필요.
▣ 조치 내용
- OPTION/ DELETE 메서드 제거
- redirection 에러페이지 (302) 통일
✔️ Apache-tomcat을 사용하는 경우 ~/conf/web.xml 파일 변경
<security-constraint>
<display-name>Forbidden</display-name>
<web-resource-collection>
<web-resource-name>Protected Context</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>OPTION</http-method>
<http-method>DELETE</http-method>
<http-method>TRACE</http-method>
<http-method>CONNECT</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
'개발 > 보안' 카테고리의 다른 글
[보안] XSS 공격 이란? (1) | 2020.09.19 |
---|---|
[보안] SQL 인젝션 (0) | 2020.09.16 |