Cara Disable Http OPTIONS di Apache Web Server

Posted In - 03.32 - 0 comments
Sebagai seorang programmer atau web server administrator, suatu saat kita mungkin akan dituntut untuk mematikan (disable) suatu Http methods dari web server. Hal ini dilakukan biasanya karena alasan keamanan.

Saat Http methods seperti "OPTIONS" dalam status enable, maka saat web tersebut diuji dengan software vulnerability scanner seperti Acunetix, maka akan ditemukan suatu vulnerability (celah keamanan). Untuk mengatasi hal ini kita harus men-disable OPTIONS method dalam web server. Caranya adalah :




  1. Buka file konfigurasi Apache Web Server (httpd.conf)
  2. Cari baris yang bertuliskan :

    LoadModule  rewrite_module  path/to/apache/modules/mod_rewrite.so

  3. Jika ketemu hilangkan tanda # di depan baris tersebut, jika tanda # di depan baris tersebut sudah tidak ada kita tidak usah merubah apa-apa di baris ini.
  4. Jika tidak ketemu tinggal tambahkan saja baris di atas.
  5. Kemudian untuk enable rewrite engine tambahkan baris :

    RewriteEngine On

  6. Untuk disable Http methods tambahkan baris :

    RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
    RewriteRule .* - [F]


  7. Code di atas berarti kita disable Http methods TRACE, TRACK dan OPTIONS.

Jika di web server menggunakan Virtual Host maka masukkan baris pada poin 5 dan 6 ke dalam tag Virtual Host.

Selamat mencoba. Semoga bisa menjadi solusi...

0 comments:

Posting Komentar

Langganan: Posting Komentar (Atom)