[질문]쉽게 넘겨왔던 내용들이 요즘 계속 걸리네요..
우람늘
2002/09/24 - 보안 업데이트: Tomcat 4.1.12 안정버전과 Tomcat 4.0.5 나왔습니다.
보안 취약점이 모든 아파치 톰캣 4.x 버전들(4.0.4 와 4.1.10 버전도 포함됨)에서 확인되었습니다.
특별한 URL 을 사용해서 JSP 페이지 소스와 특별한 환경에서 적절한 인증절차도
거치지 않고 보안제약에 의해 보호되어야할 정적인 자원을 빼낼 수 있게 되는 취약점입니다.
(Tomcat 의 정적인 컨텐트를 다루는 역할을 하는)기본 서블릿과 invoker 서블릿을 사용해서
이러한 취약점을 발생시킵니다.
이러한 특별한 환경은 톰캣의 기본환경설정 에서 가능하게 되어있습니다.
기본 webapp 환경설정에서 invoker 서블릿을 중지시키면 기존에 설치된 톰캣은 취약점을
쉽게 빗겨갈 수 있습니다.
$CATALINA_HOME/conf/web.xml (윈도우에서는, $CATALINA_HOME/conf/web.xml) 파일에서, 다음 XML 부분을 주석처리하거나 제거하세요:
servlet-mapping
servlet-nameinvoker/servlet-name
url-pattern/servlet/*/url-pattern
/servlet-mapping
이글은 자바스터디에서 찾은 건데요....
여기서 보안을 위해 invoker 부분을 지우라고 나오는데..
지워버리면 serlvet호출은 어떻게 되는건가요??? 제가 테스트해보니 404에러가 뜨던데~
설명좀 해주세요~~
