웹 서비스 메소드 설정 취약점

응답값 중 Allow 헤더의 필드 (허용 메소드)

* 웹 서비스 메소드 설정 취약점 : 일반적으로 사용하는 GET, POST 메소드 이외, 불필요한 메소드 허용 시, 공격자가 이를 이용, 각종 공격에 활용할 수 있는 취약점

 

 

 

* 지원하는 메소드 확인 (Telnet 사용) : telnet을 통해 서비스 IP 및 Port에 접근 후, OPTIONS 메소드(지원할 시)로 Allow 헤더 필드로 지원하는 메소드 리스트 확인이 가능

OPTIONS /경로

 

 

 

* 대응책 : 불필요한 메소드 사용 제한 필요

LimitExcept 지시자로 GET, POST외 전부 Deny from all

- 아파치 웹서버 설정파일(httpd.conf)에서 설정 (적용 후 403 forbidden 응답 반환)