차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판
이전 판
was_보안_취약점_점검 [2018/06/04 15:32]
koov [참조링크]
was_보안_취약점_점검 [2019/11/14 13:17] (현재)
koov
줄 10: 줄 10:
 === Tomcat === === Tomcat ===
  
-''​server.xml''​ 내의 connector 설정에 ​''​xpoweredBy'', ​''​server''​ 속성값을 추가하면 된다.+''​server.xml''​ 내의 connector 설정에 ''​server''​ 속성값을 추가한다. 또한 ''​xpoweredBy="​false"''​를 추가 해준다. 다만 이 값은 false가 기본값이므로 없는 경우 굳이 추가할 필요는 없다.
  
 <WRAP prewrap> <WRAP prewrap>
줄 17: 줄 17:
                ​connectionTimeout="​20000"​                ​connectionTimeout="​20000"​
                ​redirectPort="​8443"​                ​redirectPort="​8443"​
-               ​xpoweredBy="​foo"​ 
                ​server="​bar"​                ​server="​bar"​
 +               ​xpoweredBy="​false"​
                />                />
 </​code>​ </​code>​
 </​WRAP>​ </​WRAP>​
  
 +두번째 방법으로 X-Powered-By 헤더가 보이지 않게 하기 위해서는 ''​web.xml''​내에 아래와 같은 내용을 추가하도록 한다.
 +<WRAP center round tip 60%>
 +단 이 방법은 아주 오래된 tomcat 6이전 버전에서 사용되던 방법으로 현재는 셋팅 해도 적용되지 않고 의미가 없는 설정이다.
 +</​WRAP>​
 +
 +<WRAP prewrap>
 +<code vim>
 +       <​init-param>​
 +            <​param-name>​xpoweredBy</​param-name>​
 +            <​param-value>​false</​param-value>​
 +        </​init-param>​
 +</​code>​
 +</​WRAP>​
  
 === JBoss EAP 6.x === === JBoss EAP 6.x ===
줄 110: 줄 123:
   * https://​access.redhat.com/​solutions/​21075   * https://​access.redhat.com/​solutions/​21075
   * https://​tomcat.apache.org/​tomcat-8.0-doc/​security-howto.html#​Connectors   * https://​tomcat.apache.org/​tomcat-8.0-doc/​security-howto.html#​Connectors
 +  * https://​access.redhat.com/​solutions/​2740891
  
  
 +===== Directory Listing =====
 +기본적으로 디렉토리 내의 파일 목록이 출력되는것 방지하기
  
 +=== Tomcat ===
 +  * https://​tomcat.apache.org/​tomcat-9.0-doc/​default-servlet.html
  
 +Tomcat 9 버전은 기본적으로 해당 기능이 비활성화 되어있다. 명시적으로 적용하기 위해서는 ''​web.xml''​내에 아래와 같이 ''​listings''​ 속성을 ''​false''​로 지정하면 된다.
 +
 +<WRAP prewrap>
 +<code vim>
 +    <​servlet>​
 +        <​servlet-name>​default</​servlet-name>​
 +        <​servlet-class>​
 +          org.apache.catalina.servlets.DefaultServlet
 +        </​servlet-class>​
 +        <​init-param>​
 +            <​param-name>​debug</​param-name>​
 +            <​param-value>​0</​param-value>​
 +        </​init-param>​
 +        <​init-param>​
 +            <​param-name>​listings</​param-name>​
 +            <​param-value>​false</​param-value>​
 +        </​init-param>​
 +        <​load-on-startup>​1</​load-on-startup>​
 +    </​servlet>​
 +</​code>​
 +</​WRAP>​
 +
 +
 +===== HTTP Method Limit =====
 +특정 HTTP Method를 제한 한다.
 +
 +=== Tomcat ===
 +
 +<WRAP prewrap>
 +<code vim web.xml>
 +    <​security-constraint>​
 +        <​web-resource-collection>​
 +            <​web-resource-name>​Protected Context</​web-resource-name>​
 +            <​url-pattern>/​*</​url-pattern>​
 +            <​http-method>​PUT</​http-method>​
 +            <​http-method>​DELETE</​http-method>​
 +            <​http-method>​HEAD</​http-method>​
 +            <​http-method>​TRACE</​http-method>​
 +            <​http-method>​OPTIONS</​http-method>​
 +        </​web-resource-collection>​
 +        <​auth-constraint />
 +    </​security-constraint>​
 +</​code>​
 +</​WRAP>​
  • was_보안_취약점_점검.1528093970.txt.gz
  • 마지막으로 수정됨: 2018/06/04 15:32
  • 저자 koov