English

◀◁ 뒤로 취약점ID 22060 위험도 40 포트 80 프로토콜 TCP 분류 WWW 상세설명 해당 웹 서버는 위험한 HTTP method인 PUT의 실행을 허용한다. 잘못 구축된 웹서버들은 PUT이나 DELETE와 같은 위험한 몇몇 HTTP method들이 실행될 수 있도록 허용한다. 이 중 'PUT' Method는 클라이언트가 전송한 데이터를 URL에 명시된 파일이름으로 웹서버에 저장할 수 있게 해 주거나, 혹은 새로운 데이터로 웹서버 상에 이미 존재하는 파일을 업데이트할 수 있게 해 준다. 이는 공격자들이 웹서버 상에 있는 임의의 코드를 실행시키거나 서버에 트로이 목마를 설치할 수 있게 해 줄 수 있다. * 참고 사이트: http://www.iss.net/security_center/static/4252.php 해결책 적절한 서버 설정을 통해서 PUT이나 DELETE와 같은 위험한 HTTP method 들의 실행을 제한해야 한다. 반드시 필요하지 않다면 이러한 method들의 사용을 금지해야 한다. 예를들어 Apache의 경우 해당 디렉터리에서 다음과 같이 설정한다. <Directory /abcd> <Limit PUT DELETE OPTIONS> //차단할 method Order deny, allow alow from IP // 허용할 IP </Limit> </Directory> 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)