반응형 웹 취약점 조치2 [보안취약점] 웹 서비스 메소드 설정 공격 조치방안 웹 서비스 메소드라하면 생소하게 느껴질 수 있지만, 익숙한 단어로 얘기하자면 HTTP METHOD이다. Request를 보낼 때, method로 지정하는 GET과 POST가 가장 많이들 접해봤을 방식인데, RESTful 형태를 많이 사용하는 요즘은 PUT, DELETE 등도 익숙하지 않을까 싶다. 보안취약점 중 '웹 서비스 메소드 설정 공격'은 해당 사이트에서 허용된 웹 서비스 메소드가 어떤 것들이 있나 확인해서 이를 이용한 공격을 할 수 있는 취약점이다. 기본적으로 웹 서비스 메소드에 어떤 메소드가 있는지 알아보고, 이를 막기 위해서 어떤 조치를 하면 되는지 살펴보자. 1. 웹 서비스 메소드 종류 익숙한 GET, POST, PUT, DELETE 외 아래와 같은 대상들이 있다. 정리하는 김에 표로 만들어.. 2020. 10. 26. [보안취약점] 에러페이지를 통한 정보노출 조치 / jeus, webtob 설정 보안취약점 도출내역을 조치 방법을 공유하고자 한다. 전체적으로 다양한 블로그를 서치하다가 발견된 내용들을 모두 조합하였고 서버 적용 결과 정상적으로 조치됨을 확인하여 아래와 같이 정리한다. 취약점 항목에서 오류페이지가 노출되어 보완 조치가 필요하다는 안내를 받았다. 오류 발생 시, 설정된 기본 오류페이지로 redirect 시키고 있는데 해당 페이지의 HTTP STATUS 값이 200이 아니라는 이유에서다. 모두 알고있겠지만 404, 500 에러 등은 에러코드만으로 어떤 오류인지를 알 수 있는데 이 조차도 오류페이지의 상태값을 통해 특정한 상태를 알 수 있게 한다는 이유로 조치가 필요하다는 것이다. 간단하게는 오류 페이지의 jsp 페이지 등의 제일 상단에 STATUS 값을 정상으로 인식시킬 수 있도록 re.. 2020. 10. 24. 이전 1 다음 반응형