시스템 운영정보 노출 및 아파치버전 숨기는 설정

시스템 운영정보 노출 여부 및 아파치버전 숨기는 설정

 

 

모의해킹 수행 중 자주 나오는 항목 중 하나인

 

시스템 운영정보 노출이 있습니다.

 

시스템 운영 노출이란

 

원치않는 에러페이지가 표시되거나

 

존재하지 않는 디렉토리에 접근 시

 

tomcat 의 버전 정보가 노출 될 수 있습니다.

 

 

 

 

일반적으로 버전정보가 노출되는게 뭐 어때서?

 

라고 생각할 수 있지만

 

 

웹 서비스 사용 시 버전 정보가 노출되거나

 

오류 메세지 등에서 중요한 정보가 노출되어

 

공격자에게 2차공격을 위한 정보가 제공될 가능성이 있기 때문에

 

노출을 막을 수 있다면 막는것이 좋습니다.

 

 

 

 

 

 

tomcat 설정 에러페이지 예시

 

web.xml 을 통한 오류페이지 설정

 

일반적으로 잘 아는 404 에러  500 에러를 표시하지 않는 것은

 

web.xml 에서 처리가 가능합니다.

 

<web-app>

   <error-page>

       <error-code>404</error-code>

       <location>/error404.html</location>

   </error-page>

   <error-page>

       <error-code>500</error-code>

       <location>/error500.html</location>

   </error-page>

 </web-app>

 

 

 

 

 

apache 버전 숨기는 설정 예시

 

 

apache 버전은 응답 내 헤더정보에 포함되어 있습니다.

일반적으로

Server : Apache/2.0.64 (Unix)

이렇게 표시되는데 아래 설정을 변경하겠습니다.

 

 

httpd.conf 파일의 ServerTokens 값 변경

 

변경전 : ServerTokens Full

변경후 : ServerTokens Prod

 

 

결과

변경전 :  Apache/2.0.64 (Unix)

변경후 :  Apache

 

 

 

이상으로 시스템 운영정보 노출 및 아파치버전 숨기는 설정에 대해 알아보았습니다.

 

궁금한 것이 있으면 댓글로 남겨주세요

 

감사합니다.