반응형
AP 보안 점검에서 TRACE, DELETE, PUT, HEAD 보안 취약점이 발견되었습니다.
이부분을 사용하지 않도록 하려면 어떻게 해야하나요?
TRACE, DELETE, PUT, HEAD의 설정은 AP 소스의 WEB-INF/web.xml의 제일 하단 </web-app> 바로 위에 다음과 같이 설정합니다.
1 2 3 4 5 6 7 8 9 10 11 12 13 | <security-constraint> <display-name></display-name> <web-resource-collection> <web-resource-name>restricted methods</web-resource-name> <url-pattern>/*</url-pattern> <http-method>TRACE</http-method> <http-method>DELETE</http-method> <http-method>PUT</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> </web-resource-collection> <auth-constraint</auth-constraint> </security-constraint> | cs |
반응형
'IT 이야기 > JBoss EAP' 카테고리의 다른 글
| [JBoss EAP] war 파일을 풀어서 서비스 중인데 심볼릭 링크 사용 방안 (0) | 2019.11.19 |
|---|---|
| [JBoss EAP] AP 보안 점검에서 JSP 1.2 라는 문구를 보이지 않게하는 방안 (0) | 2019.11.19 |
| [JBoss EAP] war 파일을 풀어서 서비스 하기 (0) | 2019.11.19 |
| [JBoss EAP] JBoss EAP의 AJP thread pool 갯수 변경 (0) | 2019.11.19 |
| [JBoss EAP] mod_jk 설정에서 connection timeout을 늘린 이후 로그에서 에러 발생 (0) | 2019.11.19 |
댓글