apache 불필요한 method 차단

 

apache 불필요한 method 차단

 

method 허용은 GET, POST method 만 허용하게 해야한다.
그외 PUT DELETE MOVE OPTIONS TRACE 등 method 는 허용해서는 안된다.

 

 

wfetch 툴을 이용해서 테스트해보자

툴은 ms 홈페이지에 서 다운받을수있다.

 

 

 

 

 

설정하기전 허용된 method 를 확인할수 있다.

 

이제 METHOD 차단을 해보면.....

 

화이트리스트 방식으로 허용할 METHOD  GET POST 만허용하고 나머진 모두차단

 

 

 

 

 

 

<Directory "C:/APM_Setup/htdocs">
       <LimitExcept GET POST>
            Order deny,allow
           Deny from all
        </LimitExcept>
</Directory>

 

LimitExcept 사용해서 GET POST 만 허용하고 나머지 method 는 다차단한다

 

 

 

차단되는걸 확인할수 있다,

 

여기서 Directory 를 이용하여 설정하면 불편한점이 생긴다.

 

 

 

 

해당경로는 METHOD가 차단이 되지 않았다

 

위방식대로라면

 

디렉토리 별로 모두 제한을 걸어줘야하는 불편함이 있다.

그래서 URL pattern을 이용하여 제한하는 방법을 사용하여 막을수도 있다.

 

Directory 대신 Location 을 사용하면 된다

 

 

 

 

<Location />
   <LimitExcept GET POST>
     Order deny,allow
      Deny from all
    </LimitExcept>
</Location>

 

 

적용하고 재시작하면 

 

 

하위디렉터리도 제한을 걸수있다.

 

Directory 대신 Location 을 사용하면 디렉터리별로 제한을 걸지 않고

 

모든디렉터리에 METHOD 제한을 걸수있다.