Evitar ataques de negação de serviço em servidores weblogic - post http lento

1

Estou usando o servidor de aplicativos Weblogic 12c (12.1.3) para executar meu aplicativo. Configurei o tempo limite completo da mensagem no Weblogic para 30 segundos, mas quando a verificação do Qualys está em execução nesse servidor, ele ainda pode manter uma conexão aberta por mais de 30 segundos (no meu caso, foi aberto mesmo após 300 segundos) enviando uma solicitação com taxa de transferência muito lenta.

Isso significa que a configuração de tempo limite de mensagem completa não está funcionando no servidor, caso contrário, a conexão teria terminado após aguardar no máximo 30 segundos. Existe alguma outra configuração ou estou faltando alguma coisa aqui?

Eu segui as recomendações da Oracle conforme o artigo abaixo:

link

    
por smallarv 08.08.2017 / 05:34

1 resposta

0

A configuração completa do tempo limite da mensagem funciona. A configuração pós-tempo limite também está em jogo aqui. Post Timeout (em segundos) é o horário para ler dados HTTP POST em uma solicitação de servlet. Se os dados do POST estiverem fragmentados, a quantidade de tempo que o servidor aguarda entre o final do recebimento do último bloco de dados e o final do recebimento do próximo bloco de dados em um HTTP POST antes que ele atinja o tempo limite.

Qualys scan está fazendo o chunk na solicitação de postagem e o Web Logic redefine o tempo (30 segundos padrão) depois que um bloco é recebido.

Qualys digitaliza o resultado da amostra

Para combater isso, reduza o tempo limite de postagem ou defina-o como zero. Para fazer isso; 1. Clique em Ambientes 2. Clique em Servers 3. Clique no nome do seu servidor 4. Clique na guia Protocols 5. Clique na guia HTTP

    
por 21.09.2018 / 14:41

Tags