2016年04月09日

4. ミドルウェアの初期設定(TRACEメソッド)

私が最近携わったセキュア化支援での指摘事項をまとめておきます。
なお、何れの対象システムもApache、Tomcatを利用したグローバル(インターネット)領域に公開するWebアプリケーションです。

【検出内容】
外部に公開するミドルウェアの初期設定をそのままにしていたため、
TRACEメソッドが有効となり、クロスサイトトレーシング(XST)の脆弱性が内在した。

【(想定)被害内容】
HTTPレスポンスヘッダの(元々HTTPリクエストヘッダの)Authorizationヘッダ、CookieヘッダからWebアプリケーションの認証情報を奪取される ⇒ アカウントを乗っ取られ、Webアプリケーションを不正利用される。

【対策内容】
TRACEメソッドを無効にする。
参考 : Apacheを設定する(httpd.conf)

【関連する記事】
posted by red at 23:35| Comment(0) | TrackBack(0) | セキュア化支援 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック