아파치 취약점
- TRACE and TRACE HTTP 메소드 사용
- HTTP 규약에 따라 웹서버들은 GET, PORT, HEAD, PUT, OPTIONS, DELETE, TRACE 7개의 메소드를 제공한다
- 최근 웹 트렌드에는 GET, POST를 제외한 나머지 메소드들을 비활성화 한다.
- web.xml에 security-constraint 추가
* <security-constraint>
<web-resource-collection>
<web-resource-name>Restricted methods</web-resource-name>
<url-pattern>/*</url-parrern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint/>
</security-constraint>
- httpd.conf에 추가
- TraceEnable Off
- Apache 헤드에 불필요한 정보 숨김 처리
- 테스트 방법
- curl --head 서버주소
- 처리 방법
- httpd.conf에 아래 내용 추가
- ServerTokens Prod
- ServerSignature off