본문 바로가기
FullStack/41. WEB.WAS

[취약점] Apache, Tomcat 불필요한 웹 메서드 허용

by nakanara 2020. 12. 8.
반응형

Tomcat

불필요한 웹 메서드 허용

웹 서비스에서 DELETE, PUT의 기능을 보안상의 이슈로 차단을 요청

Apache - 웹 메서드 제한 방법

httpd.conf 파일


# 모든 URL에 대해서 GET, POST만 허용
<location "/"> 
    <LimitExcept GET POST> 
        Order deny,allow
        Deny from all
    </LimitExcept>
</location>

# Trace 불가
TraceEnable Off

Tomcat - 웹 메서드 제한 방법

web.xml 부분에 차단할 메서드 설정

    <servlet>
        <!-- PUT, DELETE 차단 -->
        <init-param>
            <param-name>readonly</param-name>
            <param-value>true</param-value>
        </init-param>
    </servlet>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Restricted methods</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint />
    </security-constraint>

참고

#tomcat #apache #method #delete #put

반응형