<Apache-Tomcat>아파치 톰캣 기술지원 전문기업 (주)제스트정보기술 - Tomcat HTTP 메소드 차단 설정

안녕하세요

제스트정보기술 입니다.

 

 

이번 시간에는 Tomcat HTTP 메소드 차단 설정에 대해 알아보도록 하겠습니다.

 

HTTP 규약에 따라 웹서버는 GET, POST, DELETE, PUT, HEAD, OPTIONS, TRACE 등의

메소드를 사용할 수 있습니다.

 

하지만 이러한 메소드들을 모두 허용할 시 보안 취약점이 생길 수 있기 때문에 GET, POST를 제외한

메소드들은 차단 설정을 걸어놓는 경우가 많습니다.

1. Tomcat의 HTTP 메소드 차단 설정은 ${CATALINA_HOME}/conf/web.xml 파일에서 설정하실 수 있습니다.

 

ex) web.xml

 

<security-constraint>

<web-resource-collection>

<web-resource-name>restricted methods</web-resource-name>

<url-pattern>/*</url-pattern>

<http-method>HEAD</http-method>

<http-method>PUT</http-method>

<http-method>PATCH</http-method>

<http-method>CONNECT</http-method>

<http-method>OPTIONS</http-method>

<http-method>TRACE</http-method>

</web-resource-collection>

<auth-constraint />

</security-constraint>

 

-> url-pattern에서 요청 패턴을 지정할 수 있으며 위와같이 설정시 /* 으로 들어오는 요청에 대해 아래 나열된 메소드들에 대해 비활성화가 가능합니다.

 

 

2. 실제로 적용이 잘 되었는지 확인하고 싶다면 telnet을 통해서 테스트하는 방법이 있습니다.

->Telent 명령어로 tomcat의 IP와 포트를 통해 연결 후 HEAD/ HTTP/1.1 와 Host를 입력합니다.

-> HEAD 메소드 호출시 403 응답코드로 접근 거부가 나타난 것을 확인하실 수 있습니다.

 

 

그럼 오늘은 간단하게 Tomcat 내에서 HTTP 메소드 차단 설정 하는 방법에 대해 알아보았습니다.

다음에도 좀 더 유익한 Tomcat 정보와 함께 만나뵙겠습니다.

감사합니다.

 

---

<제스트정보기술 기술지원>

​

(주)제스트정보기술은 전산시스템 구축에 오픈소스 SW로 구성

요구사항 분석과/공개 소프트웨어 설치 및 기술지원/서비스 연동/교육 및 컨설팅을 수행 하고 있습니다.

​

-. 공개 소프트웨어 기술 지원체계 수립

-. 공개 SW 교육 지원

수요기관의 SW 구조/기능을 분석하고, 공개 SW 도입을 위한 분석, 솔루션을 검토함.

-. 오픈소스 SW 구축을 위한 최근 개발경향 분석

-. 해당 기능/역할에 대한 공개 소프트웨어 기술데이터 분석

-. 개방형 OS 도입 및 인프라 기반 WEB/WAS, 오픈 DB 기술지원 체계 수립

-.Apache, Jboss(Wildfly) was, Linux OS, 오픈 DBMS 구축, 기술지원

​

제스트정보기술은 20년 이상의 WEB/WAS 기술지원 경험과 노하우를 바탕으로

고객의 인프라 상용소프트웨어(Jeus, weblogic,JBoss EAP, Oracle DB등)에 소요되는 제반비용

(도입, 운영, 유지보수 비용등)을 획기적으로 절감하도록 계획과 방법을 제안하고 있으며

시스템 서비스의 성능을 전반적으로 개선하여 기술지원, 컨설팅을 제공하고 있습니다.

​

시스템 구축 이후에도 서비스 안정화를 위해 지속적인 서비스 모니터링 지원하고 있으며 ,

고객의 시스템을 안정적으로 운영하기 위해 최선의 노력을 다하고 있습니다.​

 

 

<오픈소스 기술지원 문의>

​

​

영업지원 : sales@xest.kr

전화번호 : 02-558-5918

팩스번호 : 02-558-5913

홈페이지 : http://www.xest.kr