728x90
반응형
취약점진단 시 아래 그림과 같은 로그인 창이 뜨는 경우가 있습니다.
해당 로그인 창은 WAS 관리자 로그인으로 알고있는데, 해당 기능은 인가된 IP또는 PC에서만 활성화되도록 설정해야합니다.
그래서 아래와 같은 결과가 나오지 않도 설정해야 합니다.
""URL" 서버가 사용자 이름과 암호를 요청하고 있습니다. 서버에서 Authentication required의 요청이라 보고 합니다.
경고: 사용자 이름과 암호는 기본 인증을 사용하여 안전하지 않은 연결을 통해 전송됩니다."
@@ WEB.xml 파일내 추가 필요@@
1."security-constraint" 구문 내 추가("user-data-constraint")
<security-constraint>
....
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
.....
</security-constraint>2. 에러코드 401에 대한 에러처리 구문 추가 필요
<error-page>
<error-code>401</error-code>
<location>/error-404.html</location>
</erro-page>
/error-404.html -> 별도 설정된 에러페이지로 이동 필요
2번 대응방안은 보통 위와 같은 로그인 창은 401 에러 발생 시 나타나는 상황으로 401에 대한 에러페이지 처리시 조치가 될 가능성이 있습니다.
728x90
반응형
'보안 공부 > Web 보안' 카테고리의 다른 글
| JWT(Json Web Token) 보안 특성 및 대처 방안 (0) | 2022.01.10 |
|---|---|
| Microsoft IIS(인터넷 정보 서비스) 5.0 및 6.0 상태 코드에 대한 설명 (0) | 2020.04.07 |
| web server 헤더 정보 숨기기!(apache) (0) | 2019.12.13 |
| Web Method 취약점 조치 방안(Trace method 제한) (0) | 2019.09.27 |
| 웹서버 web editor 취약점 및 샘플페이지 (0) | 2019.08.13 |