[JBoss EAP] AP보안 점검에서 TRACE, DELETE 등의 보안 취약점 해결 방안

IT 이야기/JBoss EAP

[JBoss EAP] AP보안 점검에서 TRACE, DELETE 등의 보안 취약점 해결 방안

찬찬이 아빠 2019. 11. 19. 17:48

AP 보안 점검에서 TRACE, DELETE, PUT, HEAD 보안 취약점이 발견되었습니다.

이부분을 사용하지 않도록 하려면 어떻게 해야하나요?

TRACE, DELETE, PUT, HEAD의 설정은 AP 소스의 WEB-INF/web.xml의 제일 하단 </web-app> 바로 위에 다음과 같이 설정합니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
<security-constraint>
   <display-name></display-name>
   <web-resource-collection>
      <web-resource-name>restricted methods</web-resource-name>
      <url-pattern>/*</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>DELETE</http-method>
      <http-method>PUT</http-method>
      <http-method>HEAD</http-method>
      <http-method>OPTIONS</http-method>
   </web-resource-collection>
   <auth-constraint</auth-constraint>
</security-constraint>
Colored by Color Scripter
cs

저작자표시 비영리 변경금지 (새창열림)