WAS/WebLogic
[Tips] WebLogic에서 http 메소드 제한 (보안취약점 조치)
투칼론
2023. 3. 27. 17:02
반응형
보통 HTTP를 통해 메소드 호출 시에 GET/POST 방식을 주로 사용합니다. 보안 취약점을 조치하기 위해 다른 메소드를 제한하는 방법은 아래와 같습니다.
1. WEB-INF/web.xml 파일에 설정
<security-constraint>
<web-resource-collection>
<web-resource-name>HTTP Method Restricted</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
<role-name></role-name>
</auth-constraint>
</security-constraint>
2. 설정 후, 테스트
curl 등 별도 툴로 할 수 있지만, telnet으로도 간단하게 테스트 할 수 있습니다. 설정이 완료되면, HTTP 응답 코드가 "401-Unauthorized" 또는 "501-Not Implemented"이면, 성공적으로 설정됨을 확인할 수 있습니다.
$ PUT /testweb HTTP/1.0
$ DELETE /testweb HTTP/1.0
$ HEAD /testweb HTTP/1.0
$ OPTIONS /testweb HTTP/1.0
$ TRACE /testweb HTTP/1.0