특징
- 웹 상에서 클라이언트와 서버가 통신하는 데 사용하는 HTTP request method에 의해 발생하는 취약점
- PUT, DELETE Method는 서버 내 파일의 생성 및 삭제가 가능하기 때문에 비인가 사용자에 의한 조작의 위험이 존재
- TRACE 메소드를 이용해 XST ( Cross-Site Tracing ) 같은 공격을 수행하여 세션 탈취 등의 공격 수행
- 위험도가 높긴하지만 거의 발생하지 않음
접근방법
- Option method를 이용하여 사용하는 method 확인
- PUT ,DELETE, TRACE 등 공격 가능한 미사용 method 확인가능
- 404: 요청 리소스를 찾을 수 없음
- 303: 리다이렉트시 요청 메서드가 GET으로 변하고, 본문이 제거될 수 있음
대응방안
- 웹 서버나 프레임워크에서 HTTP 메소드를 제한하여 필요한 HTTP Method만 허용
- 웹 방화벽(WAF)을 사용하여 불필요한 Method 요청을 차단
'CERT' 카테고리의 다른 글
| 웹취약점: 전송 시 주요정보 노출 취약점 (2) | 2024.08.15 |
|---|---|
| 웹취약점: 취약한 파일 존재 취약점 (0) | 2024.08.15 |
| 웹취약점: 시스템 관리 취약점 (0) | 2024.08.13 |
| 웹취약점: 디렉터리 나열 취약점 (0) | 2024.08.13 |
| 웹취약점: 관리자 페이지 노출 (0) | 2024.08.13 |