@@ apache Coyote
■ server : Apache-Coyote/1.1가 노출되는 상황
■ 대응방법
- server.xml의 http Connector 설정에 다음과 같이 server=" "를 추가하고 그 사이에 노출을 원하는 문자열을 삽입
<Connector port="8080" protocol="HTTP/1.1" server="Server" ...>
- server=""로 할 경우 원래와 같이 Apache-Coyote/1.1 =가 표시되니 만일 blank 로 표시하고 싶다면 server=" "와 같이 공백을 포함하여 설정
@@ 아파치
■ server : Apache Tomcat x.x 가 노출되는 상황
■ 대응방법
|
예) apache 서버정보 노출 대응 방법
//httpd.conf 파일내 다음 내용 추가 및 수정 ServerTokens Prod ServerSignature Off |
- 설정에 다른 응답헤더 결과
ServerTokens Prod[uctOnly] => Server: Apache
ServerTokens Min[imal] => Server: Apache/2.0.41
ServerTokens OS : Server => Apache/2.0.41 (Unix)
ServerTokens Full : Server => Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2
@@ x-powered-by(php)
■ server : X-Powered-by : PHP x.x 가 노출되는 상황
■ 대응방법
- 설정파일 standalone.xml 또는 domain.xml에 아래와 같이 설정
<configration>
<jsp-configration x-powered-by=“false”/>
</configration>
- php.ini 의 expose_php 옵션 수정
expose_php = Off
@@ 에러페이지
■ 에러페이지 리다이렉션 (예)
|
예) //web.xml <error-page> <error-code>404</error-code> <location>/WEB-INF/jsp/common/error/404error.jsp</location> </error-page> .... <error-page> <error-code>500</error-code> <location>/WEB-INF/jsp/common/error/500error.jsp</location> </error-page> <error-page> <exception-type>java.lang.Throwable</exception-type> <location>/WEB-INF/jsp/common/error/error.jsp</location> </error-page> |
'보안 공부 > Web 보안' 카테고리의 다른 글
| 취약한 웹 어플리케이션 DVWA를 통한 취약점 진단_XSS공격 (29) | 2019.07.19 |
|---|---|
| HTTP 불필요한 웹 메서드 차단 방법 (0) | 2019.05.21 |
| XSS (크로스사이트 스크립트, 크로스 사이트 스크립팅) 취약점 (3) | 2018.12.15 |
| HTTP 에러코드 (0) | 2018.12.06 |
| TRACE와 XST(Cross-site Tracing) 공격 (0) | 2018.11.14 |