웹 취약점 검사 도구인 OWASP ZAP를 사용하여 서버에서 허용된 HTTP Method를 확인하는 방법입니다.
사용된 소프트웨어 버전은 OWASP ZAP 2.9.0 버전입니다.
사용법
1. 검사할 사이트를 스캔하여 히스토리를 일단 만듭니다. 그 후 히스토리를 우클릭하여 요청 편집기를 열어주세요.
2. 요청 편집기에서 요청 헤더를 수정한 뒤 보내기를 눌러주세요.
이번 실습에선 HTTP Method를 보기 위하여 최초 GET으로 되어있던 부분을 OPTIONS로 변경했습니다.
3. 응답 확인
위와 같이 HTTP Method Allows가 노출되는 것은 보안 취약점이라고 하니까 감추는 방법을 다음 포스트에서 알아보도록 하겠습니다.
'프로그래밍 > Web.' 카테고리의 다른 글
| [Mybatis] 무제 (0) | 2020.09.29 |
|---|---|
| [Web Security] 불필요한 HTTP Method 지원 방지 (0) | 2020.08.24 |
| [JAVA] static과 final의 컴파일 (0) | 2020.08.11 |
| [JAVA] IP 를 long 형으로 변환하기 (0) | 2020.08.06 |
| [JavaScript] Google 사이트번역 API 사용법 (1) | 2020.08.05 |
댓글