[WAS]
>> 설정
JBOSS 의 WEB-INF/web.xml에서 하기와 같이 제한할 메소드 기재
ex) PUT, DELETE, HEAD, OPTIONS, TRACE, GET, POST....
<security-constraint>
<web-resource-collection>
<web-resource-name>restricted methods</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<auth-constraint />
</security-constraint>
>> 테스트
ip, was port로 텔넷 접속후 테스트할 [메소드] [경로] [HTTP/1.0] 입력하면 403 또는 405 에러 노출되면 메소드 제한이 잘 되고 있는것.
telnet 192.168.0.100 8080 (telnet ip port(was))
OPTIONS /index.jsp HTTP/1.0
[웹서버]
참고로 was 말고 web서버에서도 메소드 제한을 걸수 있다.
APACHE 하위에 httpd.conf.
<Directory />
<LimitExcept GET POST>
Order allow,deny
deny from all
</LimitExcept>
</Directory>
위 예시는 get,post 외에는 전부 제한하겠다는 정책이고
아래와 <Directory> 안에 같이 제한할 메소드를 별도로 추가해줘도 된다.
<Limit OPTIONS PUT DELETE>
deny from all
</Limit>
또한httpd.conf에 아래와 같이 TraceEnable Off로 설정해주면 TRACE 메소드를 제한할수 있다.
TraceEnable Off
TRACE 메소드 제한으로 XST(Cross Site Tracing) 공격을 방지할수 있다.
(XST : 서버에서 TRACE 메소드를 지원하고 있을 때, 클라이언트가 서버로 TRACE 요청을 보내면 서버는 요청받은 메시지를 그대로 반환하여 응답한다. 이때 TRACE요청에 의해 반환되는 응답에는 사용자의 쿠키정보 등과 같은 중요정보도 포함되게 되는데 이걸 가로채는 공격.)
>> 테스트는 webserver 포트로 텔넷 접속해서 테스트
'Was' 카테고리의 다른 글
| WebtoB + Jeus (0) | 2016.02.04 |
|---|---|
| [WAS] Jeus + Webtob 연결 (0) | 2016.02.03 |
| [WAS] centOS 에 Jeus6.0 설치 (0) | 2016.02.03 |
| JEUS 6.0 에 SSL(HTTPS) 적용하기(Windows) (0) | 2016.01.05 |
| [JBoss EAP56] 심볼릭 링크 사용하기 (0) | 2015.12.24 |
