HTTP メソッドの脆弱性
HTTP は、Web サーバ上でアクションを実行するために使用できるメソッドをいくつか備えています。これらのメソッドの多くは、開発者が HTTP アプリケーションを展開し、テストする場合に役立つように設計されています。Web サーバが正しく設定されていないと、これらの HTTP メソッドが侵入者による悪意ある目的に使用され、サーバが脆弱になることがあります。
casp1032jp
HTTP は、Web サーバ上でアクションを実行するために使用できるメソッドをいくつか備えています。これらのメソッドの多くは、開発者が HTTP アプリケーションを展開し、テストする場合に役立つように設計されています。Web サーバが正しく設定されていないと、これらの HTTP メソッドが侵入者による悪意ある目的に使用され、サーバが脆弱になることがあります。
以下の制限されたメソッドは、spectrum では使用されません。このため、これらは安全に無効にできます。
以下のメソッドを $SPECROOT/tomcat/conf/web.xml ファイルの終わり近く(つまり、</web-app> 終了タグよりも上)に追加すると、これらのメソッドを制限/無効化できます。 この変更を加えたら、OneClick サーバを再起動します。
<security-constraint>
<web-resource-collection>
<web-resource-name>制限されたメソッド</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>TRACE</http-method>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<auth-constraint />
</security-constraint>
<filter>
<filter-name>CorsFilter</filter-name>
<filter-class>org.apache.catalina.filters.CorsFilter</filter-class>
<init-param>
<param-name>cors.allowed.methods</param-name>
<param-value>GET,POST,CONNECT</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CorsFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>