의미없는 블로그
[미제사건] 톰캣 OPTIONS 메소드 조치 방법 본문
톰캣 서버고 첨에 OPTIONS 날릴때 Allow 뜨는것 때문에 취약점 잡혔다
담당자가 조치했다고 하는데 응답코드만 403 으로 바뀌고 달라진게 없음
원래 톰캣 OPTIONS 조치방안 psage.tistory.com/entry/HTTP-Method-%EC%A0%9C%ED%95%9C
1. web.xml 에 아래와 같이 설정
2. 스프링 쓰는 경우 web.xml 에 아래와 같이 추가 설정
3. 톰캣 재부팅
이렇게 했는데도 조치가 안돼서
담당자한테 /conf/web.xml 외에도 /webapps/WEB-INF/web.xml 에도 다 설정해보라고 했는데
그래도 안돼서 미제사건으로 남음
403을 에러페이지 설정하면 200뜨면서 안나오려나 했는데
테스트 해보니 톰캣은 403 에러페이지 설정해도 응답코드는 403으로 뜬다ㅋ
테스트 - 톰캣 9.0.26
원래 디폴트로 200 OK 뜨고 메소드 리스트 뜸
/conf/web.xml 에 설정 후 403 바뀌면서 메소드 안뜸
web.xml 에 403 에러페이지 설정
403은 그대로고 에러페이지 내용만 뜸
'# 나 > pentest (WEB)' 카테고리의 다른 글
| AES 복호화 하기 (0) | 2020.11.16 |
|---|---|
| 톰캣 OPTIONS, TRACE 메소드 조치 방법 (1) | 2020.11.10 |
| IIS 10 에서 OPTIONS 메소드 조치 (0) | 2020.09.04 |
| Everything (2) | 2020.09.02 |
| 혜진쓰를 위한 MySQL 수동진단 (1) | 2020.08.27 |
'# 나/pentest (WEB)' Related Articles
more
Comments