HTTP 메서드 제한
웹 서버에서 이용하는 HTTP 프로토콜의 메서드(method)는 GET, POST가 대표적이고 이외에 CONNECT, OPTIONS, HEAD, PUT, DELETE, TRACE 등 다양하다. 공격자는 보안에 취약한 메서드를 활용하여 공격할 수 있다. 다음과 같이 필요하지 않는 메서드는 차단하자.
우분투
1. HTTP에서 사용할 수 있는 메서드가 무엇이 있는지 확인한다.
root@secu-VirtualBox:/var# curl -i -X OPTIONS http://localhost
HTTP/1.1 200 OK
Date: Fri, 16 Apr 2021 07:08:59 GMT
Server: Apache/2.4.41 (Ubuntu)
Allow: GET,POST,OPTIONS,HEAD ← 다양한 메서드가 사용 가능한 상태라는 것을 확인
Content-Length: 0
Content-Type: text/html