Notice
Recent Posts
Recent Comments
Link
«   2024/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Archives
Today
Total
관리 메뉴

의미없는 블로그

[미제사건] 톰캣 OPTIONS 메소드 조치 방법 본문

# 나/pentest (WEB)

[미제사건] 톰캣 OPTIONS 메소드 조치 방법

SaltLee 2020. 11. 9. 16:01

톰캣 서버고 첨에 OPTIONS 날릴때 Allow 뜨는것 때문에 취약점 잡혔다

담당자가 조치했다고 하는데 응답코드만 403 으로 바뀌고 달라진게 없음

 

원래 톰캣 OPTIONS 조치방안 psage.tistory.com/entry/HTTP-Method-%EC%A0%9C%ED%95%9C

1. web.xml 에 아래와 같이 설정

2. 스프링 쓰는 경우 web.xml 에 아래와 같이 추가 설정

3. 톰캣 재부팅

 

이렇게 했는데도 조치가 안돼서

담당자한테 /conf/web.xml 외에도 /webapps/WEB-INF/web.xml 에도 다 설정해보라고 했는데

그래도 안돼서 미제사건으로 남음

 

403을 에러페이지 설정하면 200뜨면서 안나오려나 했는데

테스트 해보니 톰캣은 403 에러페이지 설정해도 응답코드는 403으로 뜬다ㅋ

 

테스트 - 톰캣 9.0.26

원래 디폴트로 200 OK 뜨고 메소드 리스트 뜸

/conf/web.xml 에 설정 후 403 바뀌면서 메소드 안뜸

web.xml 에 403 에러페이지 설정

403은 그대로고 에러페이지 내용만 뜸

'# 나 > pentest (WEB)' 카테고리의 다른 글

AES 복호화 하기  (0) 2020.11.16
톰캣 OPTIONS, TRACE 메소드 조치 방법  (1) 2020.11.10
IIS 10 에서 OPTIONS 메소드 조치  (0) 2020.09.04
Everything  (2) 2020.09.02
혜진쓰를 위한 MySQL 수동진단  (1) 2020.08.27
Comments