1 : 웹 사이트 내 적절한 에러페이지를 설정하지 않아, 오류메시지에서 웹사이트의 정보를 노출 되어 공격자드르이 공격을 위한 정보로 활용될 수 있음.
조치 방안으로 에러 발생 시 별도의 웹 서비스 에러 페이지를 설정함.
-Apache , Tomcat
httpd.conf 설정
웹서버에서 에러페이지 설정 시 별도의 에러페이지 출력되도록 설정 및 상태코드(에러형태)가 아닌 200이 되도록 URL 형태로 설정함.
Apache Tomcat 버전이 노출되는 경우.
httpd.conf 파일의 ServerTokens 값 추가 또는 변경
ServerTokens Prod
ServerSignature Off
apache-Coyote/1.1이 노출되는 경우
<Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" Server="원하는 문구" >
sever.xml 의 http connector의 Server ""로 되어 있는 경우 apache-Coyote/1.1가 노출됨.
X-Powered-by : PHP x.x 가 노출되는 경우
standalone.xml 또는 domain.xml에
<configration>
<jsp-configration x-powered-by=“false”/>
</configration>
php.ini
expose_php = Off
Tomcat Error page 설정
<error-page>
<error-code>404</error-code>
<location>/404.jsp</location>
</error-page>
'프로그래밍' 카테고리의 다른 글
| [스프링 공부] 스프링 IoC 컨테이너 (0) | 2021.10.13 |
|---|---|
| [OS 정리] 시스템 콜 (0) | 2021.09.27 |
| [공부] 스프링 부트와 AWS로 혼자 구현하는 웹 서비스 - 그레이들 셋팅 (0) | 2021.09.15 |
| 실전자바소프트웨어개발 (0) | 2021.08.31 |
| FINAL 변수 (0) | 2021.08.31 |