> > Selama penetration testing, ditemukan adanya metode Options yang bisa > > digunakan pada request di halaman webmail. > > Pakai cara apa?
Mereka tidak sampaikan caranya, hanya menyampaikan penguji memasukan metode OPTIONS untuk melihat metode request apa saja yang bisa digunakan pada aplikasi website Lalu melampirkan capturean nya saja seperti terlampir > > > Apakah dengan mode Webmail run using buil-in MDaemon web server ada > > konfigurasi yang dapat dilakukan agar webmail ini dibatasi hanya > > metode umum seperti POST atau GET saja yang dapat dijalankan ketikan > memberikan request? > > > Tidak. > Memang apa manfaat dan keburukkannya membatasi itu? Mereka sampaikan meskipun OPTIONS sendiri bukan metode yang langsung berbahaya, dalam beberapa kasus, informasi yang dikembalikan dapat membantu penyerang dalam enumerasi endpoint dan menganalisis kelemahan keamanan pada server. Remediasi yang bisa dilakukan natara lain : - Membatasi hanya metode umum seperti POST atau GET saja yang dapat dijalankan ketika memberikan request. - Konfigurasi server untuk memberikan respons 403 atau 405 ketika ada OPTIONS request. > > > Lalu dengan mode yang sama apakah bisa dikonfigurasi untuk memberikan > > respons 403 atau 405 ketika ada OPTIONS request? > > Tidak ada. > Memang apa manfaatnya? Sepertinya respon 403 dan 405 ini untuk memblokir akses yang tidak diperlukan Pak. Jika memang tidak opsi dengan mode buil-in mdaemaon, tidak apa-apa Pak. Terimakasih, Asep. Y -- --[mdaemon-l]---------------------------------------------------------- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.com Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
