WAS/WebLogic

[Tips] WebLogic에서 http 메소드 제한 (보안취약점 조치)

투칼론 2023. 3. 27. 17:02
반응형

보통 HTTP를 통해 메소드 호출 시에 GET/POST 방식을 주로 사용합니다. 보안 취약점을 조치하기 위해 다른 메소드를 제한하는 방법은 아래와 같습니다.

 

1. WEB-INF/web.xml 파일에 설정

<security-constraint>
    <web-resource-collection>
        <web-resource-name>HTTP Method Restricted</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>HEAD</http-method>
        <http-method>OPTIONS</http-method>
        <http-method>TRACE</http-method>
    </web-resource-collection>
    <auth-constraint>
        <role-name></role-name>
    </auth-constraint>
</security-constraint>

 

2. 설정 후, 테스트

 

    curl 등 별도 툴로 할 수 있지만, telnet으로도 간단하게 테스트 할 수 있습니다. 설정이 완료되면, HTTP 응답 코드가 "401-Unauthorized" 또는 "501-Not Implemented"이면, 성공적으로 설정됨을 확인할 수 있습니다.

$ PUT   /testweb   HTTP/1.0
$ DELETE   /testweb   HTTP/1.0
$ HEAD   /testweb   HTTP/1.0
$ OPTIONS   /testweb   HTTP/1.0
$ TRACE   /testweb   HTTP/1.0

 

'WAS > WebLogic' 카테고리의 다른 글

[Tips] SSL 디버깅 설정  (0) 2023.09.07
[정보] OPATCH 유틸리티  (0) 2023.03.29
[명령어] WLST shutdown()  (0) 2023.03.21
[정보] WebLogic DemoTrust.jks와 DemoIdentity.jks 파일  (1) 2023.01.27
[정보] 스레드 덤프(Thread Dump) 포맷  (1) 2022.11.22

'WAS/WebLogic'의 다른글

  • 현재글[Tips] WebLogic에서 http 메소드 제한 (보안취약점 조치)

관련글

티스토리툴바