[미제사건] 톰캣 OPTIONS 메소드 조치 방법

톰캣 서버고 첨에 OPTIONS 날릴때 Allow 뜨는것 때문에 취약점 잡혔다

담당자가 조치했다고 하는데 응답코드만 403 으로 바뀌고 달라진게 없음

 

원래 톰캣 OPTIONS 조치방안 psage.tistory.com/entry/HTTP-Method-%EC%A0%9C%ED%95%9C

1. web.xml 에 아래와 같이 설정

2. 스프링 쓰는 경우 web.xml 에 아래와 같이 추가 설정

3. 톰캣 재부팅

 

이렇게 했는데도 조치가 안돼서

담당자한테 /conf/web.xml 외에도 /webapps/WEB-INF/web.xml 에도 다 설정해보라고 했는데

그래도 안돼서 미제사건으로 남음

 

403을 에러페이지 설정하면 200뜨면서 안나오려나 했는데

테스트 해보니 톰캣은 403 에러페이지 설정해도 응답코드는 403으로 뜬다ㅋ

 

테스트 - 톰캣 9.0.26

원래 디폴트로 200 OK 뜨고 메소드 리스트 뜸

/conf/web.xml 에 설정 후 403 바뀌면서 메소드 안뜸

web.xml 에 403 에러페이지 설정

403은 그대로고 에러페이지 내용만 뜸