HTTP 메소드 확인 시, 웹 서버 운영에 불 필요한 PUT, DELETE 와 같은 메소드들이 확인이 되는데,
GET, POST 메소드만 허용하고 다른 메소드는 차단하는 것을 권장한다.
[HTTP 메소드 확인 방법]
1. 리눅스 사용시, nmap명령어를 사용하여 쉽게 확인 가능.
+ 윈도우 사용자라면, zenmap 프로그램을 사용하여 확인 할 수 있음.
2. https://www.askapache.com/online-tools/request-method-scanner/ <- 이 사이트를 통하여,
직접 도메인 입력 후 HTTP 메소드를 확인이 가능함.
(조치 방법)
- 톰캣이 설치된 경로 하위의 conf - web.xml의 내용 수정.
예) PUT,DELETE,OPTIONS,TRACE,PATCH 메소드 제한하기
<web-app>
<security-constraint>
<display-name>HTTP Method 비활성화</display-name>
<web-resource-collection>
<web-resource-name>Forbidden HTTP Method</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
<http-method>PATCH</http-method>
</web-resource-collection>
<auth-constraint>
<role-name></role-name>
</auth-constraint>
</security-constraint>
</web-app>
<- web.xml 내용 수정후 서버 재시작.
'스마트웹앱콘텐츠전문가 > 직장' 카테고리의 다른 글
| [IDE 이클립스 설정]이미지 새로고침 문제 해결 (0) | 2018.01.15 |
|---|---|
| [mssql]컬럼 조작 쿼리 (0) | 2017.12.11 |
| [톰캣 웹서버]설정 관련 - manager/ 경로 ip 제한 (0) | 2017.09.19 |
| [윈도우]윈도우7에서 컴퓨터 메모리가 부족하다고 에러 메시지가 표시되는 경우 (0) | 2017.09.11 |
| PHP (0) | 2017.05.19 |