웹취약점3 [Web Security] 불필요한 HTTP Method 지원 방지 HTTP Method엔 GET과 POST 이외에도 여러 메서드들이 있습니다. 그러나 사용하지 않으면서 여러 메서드들의 호출을 허용하고, 서버에서 사용 가능한 메서드 목록이 노출되는 것은 보안 취약점입니다. 해당 취약점을 처리하는 방법을 기록합니다. 처리 전 처리(web.xml) dispatchOptionsRequest true Forbidden Protected Context /* HEAD PUT DELETE TRACE OPTIONS PATCH 위와 같이 처리해주면 에러코드 403을 응답하게 됩니다. 처리 후 2020. 8. 24. [Web] OWASP ZAP로 HTTP Method 확인하기 웹 취약점 검사 도구인 OWASP ZAP를 사용하여 서버에서 허용된 HTTP Method를 확인하는 방법입니다. 사용된 소프트웨어 버전은 OWASP ZAP 2.9.0 버전입니다. 사용법 1. 검사할 사이트를 스캔하여 히스토리를 일단 만듭니다. 그 후 히스토리를 우클릭하여 요청 편집기를 열어주세요. 2. 요청 편집기에서 요청 헤더를 수정한 뒤 보내기를 눌러주세요. 이번 실습에선 HTTP Method를 보기 위하여 최초 GET으로 되어있던 부분을 OPTIONS로 변경했습니다. 3. 응답 확인 위와 같이 HTTP Method Allows가 노출되는 것은 보안 취약점이라고 하니까 감추는 방법을 다음 포스트에서 알아보도록 하겠습니다. 2020. 8. 24. [Web Security] Web Browser XSS Protection Not Enabled OWASP ZAP을 이용하여 웹 취약점 검사 후 발견한 취약점 중 Web Browser XSS Protection Not Enabled에 관한 취약점을 처리하는 방법을 기록합니다. 본 게시글은 JAVA, Spring 환경을 기반으로 작성하였습니다. 문제 상황 OWASP ZAP을 이용하여 웹 취약점을 점검한 결과입니다. 경고의 내용은 Header에 X-XSS-Protection헤더가 Enable 되어있지 않다는 내용입니다. 위 기능은 IE, Chrome 등 브라우저에서 페이지 로드 중 XSS 공격을 감지할 때 로드를 중지시킬 수 있도록 하여주는 옵션입니다. 웹 서버에서도 설정할 수 있지만 이번 글에서는 소스에서 처리해주도록 하겠습니다. 해결방법 public class HttpHeaderSecurityFil.. 2020. 3. 23. 이전 1 다음
