TRACE HTTP 메소드 활성화
설명
대상 웹 서버에서 디버그 TRACE 메소드가 활성화되어 있는 것이 확인되었습니다. 이 HTTP 메소드는 HTTP 요청 데이터를 응답으로 사용자에게 다시 보낼 수 있습니다. 어떤 경우에는 중간 프록시에서 적용된 민감한 데이터를 포함할 수도 있습니다.
복구
TRACE HTTP 메소드는 디버깅 용도로만 사용되어야 하며 프로덕션 사이트에서는 활성화되어서는 안 됩니다.
Apache 기반의 웹 서버의 경우, TraceEnable
지시문을 제거하거나 off
로 설정해야 합니다.
Microsoft 서버의 경우, 아래 레지스트리 키에서 찾을 수 있는 “EnableTraceMethod”이라는 레지스트리 매개변수를 제거하세요.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
기타 모든 서버 유형의 경우, 해당 서버의 TRACE 메소드를 비활성화하는 방법은 해당 제품 문서를 참조하세요.
세부 정보
ID | 집계 | CWE | 유형 | 리스크 |
---|---|---|---|---|
16.11 | false | 16 | 활성 | 높음 |