Skip to main content

Apach취약점

· One min read

아파치 취약점

  1. TRACE and TRACE HTTP 메소드 사용
  • HTTP 규약에 따라 웹서버들은 GET, PORT, HEAD, PUT, OPTIONS, DELETE, TRACE 7개의 메소드를 제공한다
  • 최근 웹 트렌드에는 GET, POST를 제외한 나머지 메소드들을 비활성화 한다.
  • web.xml에 security-constraint 추가
    * <security-constraint>
<web-resource-collection>
<web-resource-name>Restricted methods</web-resource-name>
<url-pattern>/*</url-parrern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint/>
</security-constraint>
  • httpd.conf에 추가
    • TraceEnable Off
  1. Apache 헤드에 불필요한 정보 숨김 처리
  • 테스트 방법
    • curl --head 서버주소
  • 처리 방법
    • httpd.conf에 아래 내용 추가
    • ServerTokens Prod
    • ServerSignature off