OPTIONSBLEED 익스플로잇에 대처하기 위해 다양한 방법을 생각하고 있습니다.
OPTIONS HTTP 메소드를 비활성화합니다. CVE-2017-9798을 적용합니다. CVE-2017-9798은 .htaccess 파일의 악용으로부터 서버를 보호할 뿐이므로 장기적인 솔루션처럼 들리지 않습니다.
보다 장기적인 해결책은 Apache Box에서 OPTIONS HTTP 메서드를 비활성화하는 것입니다.
하지만 OPTIONS HTTP 메서드가 비활성화되면 고객의 관점에서 어떤 영향을 받게 될지 잘 모르겠습니다.
올바른 방향을 알려주세요.
답변1
그만큼권장되는 해결 방법Apache 서버 소프트웨어를 업데이트하는 것입니다. 다음은 Apache 개발자의 인용문입니다.취약점을 분석했다:
.htaccess 파일을 비활성화하거나 패치를 적용하거나 버전 2.4.28로 업그레이드하지 않고 신뢰할 수 없거나 악의적인 .htaccess 작성자의 경우 이 결함을 방지하는 것은 불가능합니다.
비활성화해도 OPTIONS문제가 해결되지 않습니다. 실제로 .htaccess루트 웹 서버에 의해 구성되지 않은 파일 에 HTTP 메소드가 있으면 문제가 발생하기 때문에 상황이 더 악화될 수 있습니다.