보안팀에서 취약점 리포트 들어와서 보니깐 OPTIONS 메소드가 사용되고 있으므로 WebDAV 켜져있다 비활성화 하라는데
우리는 WebDAV 안쓰는데..? OPTIONS 저거 CORS Preflight Request 때문에 쓰는건데 무작정 막으라는건 좀..
KISA에서 제공되는 보안 매뉴얼이나 스캐너 너무 일률적이거나 구닥다리 같은거 많고, 보안팀도 기술지원 없이 그냥 취약점 있으니 장애나든 말든 막으라고 일관하는것도 거지같네
7개의 댓글
무분별한 사용은 차단될 수 있습니다.
라면볶이
webdav 면 get post만 쓰라는 아주 오래된 보안 권고 아님?
잉텔
뭐 그런가보지 근데 애초에 webdav 쓰는 서버는 없음.. ㅋㅋㅋ 모든 서버가 톰캣이나 caddy 붙어있는 서버란 말이지..
비니파
오탐 올려도 반려당함 ㅋㅋ
TPさくら
걍 막아주는게 정신건강에 이로움. 안 막으면 계속 뭐라하고 패널티 줌
유니비질게
ㅋㅋㅋ 어이없겠지만 각자 할일을하는거고 일할려고 하다가 상대쪽 지식이 모자라서 발생한 헤프닝이니 잘 리포트적어서 이러이러한것때문에 OPTIONS가 켜있는것이며 해당보안리포트와 무관한 사항이라고 설명해주면되지않을까
느긋한바지
OPTIONS 때문에 털릴 서버면 뭘 해도 털림
블블블블
멍청한 리포트 개많음.. GET/POST 말고 다른 메소드 쓰면 사유 써서 내라고 함 ㅋㅋ