HTTP Method 확인 방법

Ⅰ. HTTP Method 보안 관련

 HTTP 메소드는 클라이언트가 웹서버에게 요청하는 목적 및 그 종류를 알리는 수단으로 사용되지만,  웹 서버가 잘못 구성된 경우 악의적인 목적으로 사용될 수 있습니다. 또한 서버의 HTTP TRACE 메서드를 사용하는 교차 사이트 스크립팅의 한 형태인 XST(Cross Site Tracing)가 검사됩니다.

Ⅱ. HTTP 에서 사용하는 취약한 Method
공격자가 웹 서버에 저장된 파일을 수정하고 사용자의 자격 증명을 훔칠 수 있으므로 사용 불가능하게 해야 하는 메소드는 다음과 같습니다.

1) PUT: 이 메소드를 사용하면 클라이언트가 웹 서버에 새 파일을 업로드 할 수 있습니다. 공격자는 악의적인 파일(예: cmd.exe를 호출하여 명령을 실행하는 ASP 파일)을 업로드하거나 피해자의 서버를 단순히 파일 저장소로 사용하여 악성 파일을 악용할 수 있습니다.
2) DELETE: 이 메소드는 클라이언트가 웹 서버의 파일을 삭제할 수 있게합니다. 공격자는 웹 사이트를 손상 시키거나 DoS 공격을 일으키는 매우 간단하고 직접적인 방법으로 악용 할 수 있습니다.
3) CONNECT: 이 방법을 사용하면 클라이언트가 웹 서버를 프록시로 사용할 수 있습니다.
4) TRACE: 이 메소드는 서버로 전송된 문자열이 무엇이든 간에 클라이언트에 간단하게 에코하여 디버깅 목적으로 주로 사용됩니다. 원래 무해하다고 가정된 이 방법은 Jeremiah Grossman이 발견한 교차 사이트 추적이라는 공격을 수행하는 데 사용할 수 있습니다.
5) "GET" 또는 "POST"메소드를 명시적으로 검사한 코드는 안전합니다.

Ⅲ. 지원하는 HTTP 메소드 확인
 테스트 방법은 netcat, telnet, nmap 이 있고 nmap으로 하는 방법은 다음과 같습니다.