SGE Blog Yayınları

Web Uygulamalarda Http Options Metodunun Açık Bırakılması Açıklığı

Web Uygulamalarda Http Options Metodunun Açık Bırakılması Açıklığı

yazan Hasan Fatih Şimşek -
Number of replies: 0

Web uygulamalarda http options metodu izinli http talepleri bilgisini sunar. HTTP Options metodunun açık olması kurum web sunucusunun izin verdiği http metotlarının bilgisinin web sunucudaki uygulamayı ziyaret eden her kullanıcıya gönderilmesi demektir. Http options metodunun açık bırakılması saldırganların hedef web sunucuda hangi http metotları üzerinden saldırı denemelerinin anlamsız olduğu bilgisini ifade ettiğinden saldırganın motivasyonunu boş noktalarda değil de sadece işe yarar noktalarda odaklamasını sağlar. Bu ise kurum web uygulamasına yapılan saldırıların başarı oranını arttırabilecek bir durumdur. Bu nedenle izinli http metotları bilgisinin dışarı verilmesi önlenmelidir. 

Farklı türden web sunucularda http options metodunu kapama adımları şu şekildedir:

a) IIS Sunucularda Http Options Metodunu Kapama

IIS sunucularda http options metodunu kapatmak (yani izinli http metotlarının kullanıcılara gitmesini engellemek) için uygulama dizinindeki web.config dosyası içerisine aşağıda gösterilen kodlar girilmelidir:

httpoptions1

Ardından IIS sunucusu yeniden başlatılmalıdır. Böylece IIS sunucuda Http Options metodu kapanmış olacaktır.

b) Apache Sunucularda Http Options Metodunu Kapama

Apache sunucularda http options metodunu kapamak için sisteminize göre apache2.conf ya da httpd.conf dosyası açılmalıdır:

Terminal:

sudo gedit /etc/apache2/apache2.conf

Açılan dosyanın en altına aşağıda gösterilen kod bloğu eklenmelidir:

httpoptions2

Not: Location etiketinden sonra ve "/" (slash) karakteri öncesinde bir boşluk karakteri vardır.

Bu ayar ile HEAD, GET ve POST dışındaki tüm http metotları kapatılmaktadır. Ayarlar dosyaya dahil edildikten sonra dosya kaydedilmelidir ve apache servisi işlemin etkinleşmesi için yeniden başlatılmalıdır:

Terminal:

service apache2 restart

Böylece apache sunucuda OPTIONS metodu kapatılmış olacaktır.

Kaynaklar

https://docs.microsoft.com/en-us/iis/configuration/system.webServer/security/requestFiltering/verbs/

https://www.maketecheasier.com/securing-apache-ubuntu-2/

243 kelime