[보안 해킹] 홈페이지 보안취약점 - 불필요한 Method 혀용 취약점
■ 취약점 설명 및 사례
⑴ 취약점 설명
- 웹 서비스 제공 시 불필요한 Method(PUT, DELETE, OPTIONS 등) 허용으로 공격자에 의해 악성파일을 업로드 하거나 중요파일 삭제가 가능해지는 취약점
⑵ 사례
① OO기관은 GET, POST 외에 Method를 허용하여 웹서버 정보 획득, 파일업로드 등의 공격이 가능함
※ 윈도우에 nc가 없기때문에 직접 설치하셔야 합니다.
■ 점검방법
⑴ 텔넷에 접속하여 불필요한 Method 가 활성화 되어 있는지 확인
① 텔넷 접속
② Method 정보 요청
③ PUT, DELETE Method 활성화 여부 확인
■ 대응방안
⑴ 웹 서버 내에서의 조치
① 홈페이지 운영에 불필요한 Method(PUT, DELETE, OPTIONS 등) 비활성화
※ 웹 서비스 제공 시 필요한 GET, POST 이외 사용되지 않는 Method 사용 제한
② 웹 서버 홈 디렉토리 아래 conf 디렉토리의 web.xml 파일에서 불필요한 Method 비활성화(삭제 또는 주석)를 위한 보안 설정
※ http-method>DELETE</http-method> // 차단할 method 를 등록
※ 모든 페이지(/*)에 대하여 PUT, DELETE, OPTIONS Method 사용 제한
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Security > Hacking & Security' 카테고리의 다른 글
| [보안 해킹] 홈페이지 보안 취약점 - 계정관리 취약점 (0) | 2016.10.08 |
|---|---|
| [보안 해킹] 홈페이지 보안 취약점 - 취약한 파일 존재 (0) | 2016.10.07 |
| [보안 해킹] 홈페이지 보안취약점 - 시스템 관리 취약점 (0) | 2016.10.05 |
| [보안 해킹] 홈페이지 보안취약점 - 디렉토리 노출 취약점 (0) | 2016.10.05 |
| [보안 해킹] 홈페이지 보안취약점 - 관리자페이지 노출 취약점 (0) | 2016.10.04 |
