[보안 설정] HTTP 불필요한 method 취약점 제거 (Disable HTTP Trace)
리눅스/APACHE2022. 3. 31. 14:29
반응형
TRACE method 는 cross-site tracing, basic 인증 암호를 가로챌 수 있기 때문에 불필요하다고 판단 되므로 꼭 사용해야 하는 환경이 아닐 경우 제거하도록 합니다.
1. 확인
# curl -k -X TRACE http://localhost
TRACE / HTTP/1.1
User-Agent: curl/7.29.0
Host: localhost
Accept: */*
2. 조치
간단히 httpd.conf 에 아래 옵션을 추가하여 조치가 가능합니다.
# vi /usr/local/apache/conf/httpd.conf
TraceEnable off
# /usr/local/apache/bin/apachectl restart
3. 재확인
# curl -k -X TRACE http://localhost
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>405 Method Not Allowed</title>
</head><body>
<h1>Method Not Allowed</h1>
<p>The requested method TRACE is not allowed for this URL.</p>
</body></html>
[출처] https://www.youtube.com/watch?v=_zjMrdQoK8g
반응형
'리눅스 > APACHE' 카테고리의 다른 글
| Rocky Linux 8.5 에서 Let's Encrypt SSL 발급 및 Lighttpd 적용하기 (0) | 2022.05.24 |
|---|---|
| Rocky Linux 8.5 에서 Lighttpd + PHP + MariaDB 설치하기 (0) | 2022.05.24 |
| CentOS 7 에서 httpd 2.4.51, PHP 8.0 소스 설치하기 (0) | 2021.12.07 |
| php 확장자 없이 페이지 접속 가능하게 하기 (0) | 2021.11.30 |
| [에러] (13)Permission denied: [client ...] AH00035: access to ... denied ... because search permissions are missing on a component of the path (0) | 2021.11.08 |
댓글()
