728x90
웹 서비스 제공 시 필요하지않은 Method를 허용함으로써 공격자에게 악성파일을 업로드 하거나 중요파일을 가져오게되는 빌미를 주게되는 취약점이다.
예를들어 유저에게 PUT을 허용하면 유저가 DB에 데이터를 넣을 수 있게된다.
(PUT Method : 메세지에 포함되어 있는 데이터를 지정한 Request-URL의 이름으로 저장)
예제
PUT /keocgs.txt
HTTP /1.1..
Connection : Keep-Alive..content_Type : application/x-www-formurlencoded;
Charset=UTF-8..
Accept : */*..
Accept-Language : zh-cn
User-agent : Mozilla/4.0(comatible;MSIE9.0;WindowsNT6.1)..Content-Length:8..
Host : www.secdata.com이 예제는 정탐이다. 내용은 PUT을 이용하여 keocgs.txt 업로드를 시도했다.
불필요하거나 공격에 악용될 수 있는 Method들을 사용 설정 해제해야 한다. 하지만 고객사에 따라 사용될 수 있는 Method가 있을 수 있으므로 제대로 확인해보고 설정해야한다.
OPTION Method를 사용하면 사용제한 여부를 확인할 수 있다.
728x90
'보안 > 보안관제 공격이벤트 정리' 카테고리의 다른 글
| SIEM (0) | 2022.01.26 |
|---|---|
| WebShell 공격 (0) | 2022.01.17 |
| ZmEu Scanner (0) | 2022.01.17 |
| SQL Injection - URL Encoding (0) | 2022.01.14 |
| GET / POST 특징과 차이점, 공격 이벤트 (0) | 2022.01.14 |