wildfly X-Powered-By : JSP/2.3 보안이슈 해결

<subsystem xmlns="urn:jboss:domain:undertow:10.0"

사이에 추가한다.

<servlet-container name="default">
 <jsp-config x-powered-by="false"/>
                <websockets/>
            </servlet-container>

</subsystem>

 

 

브라우저에서 제공하는 툴 등으로 HTTP 요청/응답 헤더 정보를 조회할 수 있다. 니는 악의적인 목적으로 이용하면 보안상 큰 이슈가 될 수 있으므로 보통 헤더 정보 중에서 중요한 정보를 감출 수 있다.

 

아래는 HTTP 요청에 의한 응답 헤더 내용이다.

 

Connection:close Content-Encoding:gzip Content-Type:text/html;charset=UTF-8 Date:Tue, 14 Aug 2012 15:34:02 GMT Server:Apache Transfer-Encoding:chunked Vary:Accept-Encoding X-Powered-By:JSF/1.2

 

위의 정보에서 "X-Powerd-By" 정보와 "Server" 정보를 감추는 정보는 각각 아래와 같다.

 

 

1. "X-Powerd-By" 정보 감추기

 

설정파일 standalone.xml 또는 domain.xml 에 아래와 같이 설정한다.

 

<configuration>      <jsp-configuration x-powered-by="false"/> </configuration>

 

JSP 파일에 바로 반영하기 위해서는 컴파일 가능하도록 tmp/ 디렉터리를 삭제하거나, touch로 강제로 변경일자를 수정하여 컴파일 되도록 해야한다.

 

 

 

2. "Server" 정보 감추기

 

JBoss 기동 시 옵션에 아래를 설정한다.

 

-Dorg.apache.coyote.http11.Http11Protocol.SERVER="WASServer"