본문 바로가기
시스템/wildfly

wildfly X-Powered-By : JSP/2.3 보안이슈 해결

by cbwstar 2021. 7. 21.
728x90
반응형

<subsystem xmlns="urn:jboss:domain:undertow:10.0"

사이에 추가한다.

<servlet-container name="default">
 <jsp-config x-powered-by="false"/>
                <websockets/>
            </servlet-container>

</subsystem>

 

 

브라우저에서 제공하는 툴 등으로 HTTP 요청/응답 헤더 정보를 조회할 수 있다. 니는 악의적인 목적으로 이용하면 보안상 큰 이슈가 될 수 있으므로 보통 헤더 정보 중에서 중요한 정보를 감출 수 있다.

 

아래는 HTTP 요청에 의한 응답 헤더 내용이다.

 

Connection:close
Content-Encoding:gzip
Content-Type:text/html;charset=UTF-8
Date:Tue, 14 Aug 2012 15:34:02 GMT
Server:Apache
Transfer-Encoding:chunked
Vary:Accept-Encoding
X-Powered-By:JSF/1.2

 

위의 정보에서 "X-Powerd-By" 정보와 "Server" 정보를 감추는 정보는 각각 아래와 같다.

 

 

1. "X-Powerd-By" 정보 감추기

 

설정파일 standalone.xml 또는 domain.xml 에 아래와 같이 설정한다.

 

<configuration>
     <jsp-configuration x-powered-by="false"/>
</configuration> 

 

JSP 파일에 바로 반영하기 위해서는 컴파일 가능하도록 tmp/ 디렉터리를 삭제하거나, touch로 강제로 변경일자를 수정하여 컴파일 되도록 해야한다.

 

 

 

2. "Server" 정보 감추기

 

JBoss 기동 시 옵션에 아래를 설정한다.

 

-Dorg.apache.coyote.http11.Http11Protocol.SERVER="WASServer"

 

728x90
반응형

'시스템 > wildfly' 카테고리의 다른 글

wildfly 자동배포  (0) 2021.09.10
jboss-deployment-structure.xml  (0) 2021.08.07
윈도우에서 포트 죽이기  (0) 2021.08.03
Maven 환경의 톰캣 lib 배포 안될경우 에러  (0) 2021.07.22
wildfly 라이브러리 오류 해결  (0) 2021.05.10

댓글



"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

loading