안전하지 않은 HTTP 메서드

API 보안 테스트에서 OPTIONS 및 TRACE 같은 안전하지 않은 HTTP 메서드가 활성화되어 있는지 확인하는 검사 항목입니다.

설명 # 대상 엔드포인트에서 OPTIONS 및 TRACE와 같은 HTTP 메서드가 활성화되어 있는지 확인합니다. 해결 방법 # 테스트된 리소스가 OPTIONS HTTP 메서드를 지원합니다. 일반적으로 이는 지원되는 HTTP 메서드를 노출하여 특정 서버나 리소스에 대한 정보 수집으로 이어지기 때문에 보안 설정 오류로 간주됩니다. 그러나 API 커뮤니티의 일부에서는 OPTIONS를 리소스 작업을 자체 탐색하는 메서드로 사용하려는 경우가 있습니다. 이것이 OPTIONS를 활성화하는 의도된 용도라면, 이 이슈는 거짓 양성(false positive)으로 간주할 수 있습니다. 테스트된 리소스가 TRACE HTTP 메서드를 지원합니다. 웹 브라우저의 다른 크로스 도메인 취약점과 결합될 경우, 헤더에서 민감한 정보가 유출될 수 있습니다. 서버/프레임워크에서 TRACE 메서드를 비활성화하는 것을 권장합니다. 링크 # OWASP CWE