톰캣 OPTIONS, TRACE 메소드 조치 방법

톰캣이구 OPTIONS, TRACE 메소드 둘다 응답값 헤더에 메소드 떠서 취약점으로 잡혔었다

 

담당자가 조치했다고 하는데

OPTIONS 날리면 계속 메소드 뜨고

TRACE 는 메소드는 안뜨는데 TRACE가 활성화 되어버림

 

우리 조치가이드에 방법이 2개 있는데 조치가이드가 좀 잘못됐었다

담당자는 그대로 따라한거라서 잘못 없음..

 

OPTIONS, TRACE 둘다 메소드 리스트 노출될 경우

첫번째가 /conf/web.xml 에 메소드 제한 설정하는거고

두번째가 /conf/server.xml 에 allowTrace="true" 설정하는거다

 

테스트-톰캣 8.0.12, 9.0.12

디폴트로 OPTIONS, TRACE 전송 시 메소드 리스트 뜬다

/conf/web.xml 에서 메소드 제한 설정 

아래줄에 <auth-constraint /> 이게 중요

이거 빼먹으면 적용 안된다

/conf/server.xml 에 allowTrace="true" 해야 TRACE 날려도 메소드 리스트 안뜬다

원래 위에꺼 없이 이것만 설정하면 TRACE 활성화됨 

위 두개 설정하고 재부팅하면 OPTIONS, TRACE 둘다 안먹힘~