묻고답하기
불필요하게 오픈된 메소드의 차단
2010.12.28 08:57
대학교 도메인을 사용하기 위해서 신청을 했더니, 외부 호스팅 업체에서 호스팅을 했다는 이유로 이런저런 보안 취약점을 개선할 것을 요구하더라구요. 근데 그 내용 중에 불필요하게 오픈된 메소드를 차단하라는 요구가 있었습니다. 학교 측에서 보내온 개선요구 사항들은 다음과 같습니다.
- 처리 필요한 취약점 : [불필요하게 오픈된 메소드] 차단설정 (허용 권고 메소드 : GET ,POST, 이외 메소드는 모두 차단)
- 차단설정 근거 : 공격자는 웹서버에 허용된 메소드 특히 PUT, DELETE, CONNECT, TRACE 등을 이용하여 파일업로드, 웹서버 파일 삭제 등 웹서버를 인증없이 조작할 수 있음
호스팅 업체(cafe24) 측에서는 서버단에서 위와 같은 차단을 실행해줄 수 없다고 하더군요. 소스단에서 알아서 차단하라고 하더라구요 ㅠㅠ
그런데 어떤 코드를 넣어야 하는지, 그 코드를 xpressengine의 어디에 넣어야 하는지를 도통 알수가 없어서 ㅠㅠ
고수님들의 도움을 기다립니다.
어떤 코드를 넣어야 하는지는 둘째치고 일단 xpressengine의 어디에 그 내용을 넣어야하는지만이라도 알려주시면 정말 감사하겠습니다.
감사합니다.
댓글 1
-
주객전도 ㅡ,.ㅡ
-
lol :)
2010.12.28 11:16
서버를 직접 운영 중 이십니까?
XE의 문제가 아니고 웹 서버 설정에 관련된 문제 인 것 같습니다.(PHP)
-
김재원795
2010.12.28 11:45
웹 서버 설정의 문제 인 것이 맞습니다. 원칙적으로는 보통 그렇게 조치들을 취합니다. 그런데 저는 웹호스팅업체에서 호스팅을 받다보니, 계정별로 그 서버설정을 달리 할 수 있는 기능을 제공하지 않아, 부득이 XE 코드에서 그 기능을 아예 차단하는 방법을 사용해야 한다는 조언을 받았습니다.
