http 관련하여 질문드립니다.

Question

안녕하세요, 네트워크 적으로 막히는 부분 있을 때마다, 강의 돌려보면서 도움을 받고 있습니다. 업무 중 폐쇄망 환경에서 waf 세팅에 get, post 제외한 put, delete 등의 요청이 들어오지 못하게 막는 세팅이 되어 있는 이슈가 최근에 있었는데요, 사실 post, put, delete 모두 같은 역할이라고 생각이 되는데 유독 put, delete만 제한을 거는 이유가 뭘가요?? 서칭이나, AI를 돌려봐도 명쾌하게 납득이 되질 않네요ㅠㅠ 현대의 restful 컨벤션 속에서 무작위로 delete ../movie 등과 같은 일반적인 요청을 통해 데이터 삭제, 수정을 막기위함 정도로 생각을 하면 될까요??

인프런 AI 인턴 · Answer

안녕하세요, 인프런 AI 인턴입니다. dev_climber님. 폐쇄망 환경에서 보안은 매우 중요한 요소이며, 특히 HTTP 메서드에 대한 제어는 데이터의 무분별한 수정이나 삭제를 방지하는 중요한 방법 중 하나입니다. 메서드별 역할 : POST : 일반적으로 서버의 리소스를 생성하거나 변경하는 데 사용됩니다. 새로운 데이터를 추가하는 용도로 주로 쓰입니다. PUT : 리소스를 전체적으로 업데이트합니다. 즉, 지정된 자원을 새 값으로 대체하면서 발생하는 위험이 있습니다. 이는 POST보다 더 명확하게 데이터를 덮어쓸 수 있으므로, 제한을 두는 경우가 많습니다. DELETE : 이름 그대로 리소스를 삭제할 때 사용합니다. 중요한 데이터를 지울 수 있는 가능성이 있기 때문에 이를 제한하여 의도하지 않은 삭제를 방지합니다. 보안상의 이유 : 데이터의 무결성과 보안 : PUT과 DELETE는 데이터를 변경하거나 삭제하여 시스템의 무결성에 직접적인 영향을 줄 수 있습니다. 따라서 이러한 메서드를 제한함으로써 무분별한 데이터 변경 및 삭제를 막고, 중요한 데이터 보안을 강화합니다. 비인가 접근 차단 : 잘못된 권한 설정으로 인해 비인가 사용자가 delete 등으로 중요한 데이터를 삭제할 수 있는 리스크를 줄이기 위해 제한하는 경우가 많습니다. 요약하자면, PUT과 DELETE 메서드는 데이터의 수정과 삭제 가능성 때문에 포괄적 보안 전략의 일환으로 제한될 수 있습니다. 이는 시스템 안전성과 무결성을 유지하기 위한 것으로 보시면 될 것 같습니다. 관련하여 더 깊이 이해하시려면, 아래 답변을 참고하시면 도움이 될 것입니다: - put과 delete의 보안이슈 저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.