2024. 5. 1. 20:06ㆍProject/Web Application-모의해킹
시큐어 코딩 : 웹 서버 버전 노출 방지
1) 개요
Project:Web Site 웹 사이트 에러 페이지에서 발견된 정보 누출 취약점을 방지하기 위하여 대응 방안 중 하나인 웹 서버 설정 파일을 변경하여 실제로 정보 누출 취약점을 방지할 수 있는지 확인한다.
2) 방법
Project:Web Site 웹 사이트에서 에러가 발생하면 출력되는 에러 페이지에서 웹 서버 버전이 노출되는 것을 확인할 수 있다. 이는 웹 서버마다 설정 파일이 존재하며 해당 파일에서 웹 서버 버전 노출 정도를 설정하는 것으로 해결할 수 있다. 본 웹 사이트는 Apache를 사용하므로 설정 파일인 httpd.conf에서 ServerTokens, ServerSignature 옵션 값을 조정하여 웹 서버 버전 노출 정도를 설정한다.
3) 시큐어 코딩
[1] Apache 내 httpd.conf 파일 설정
웹 브라우저 주소창에 웹 서버 내 존재하지 않는 파일을 요청하여 에러를 의도적으로 유발하여 에러 페이지가 출력되었다. 에러 페이지가 출력되었더니 웹 서버 버전 정보가 자세히 노출되어 있는 것을 확인하였다.
httpd.conf 또는 apache2.conf 파일에서 먼저 ServerTokens 옵션 값을 Prod로 설정하여 웹 서버 이름만 나오도록 설정한다.
에러 페이지를 출력했더니 웹 서버 이름만 나오는 것을 확인하였다.
이번에는 ServerSignature 옵션 값을 Off로 설정하여 웹 브라우저 상에 웹 서버 정보가 노출되지 않도록 설정한다.
에러 페이지를 출력했더니 에러 메시지 하단에 출력되어야할 웹 서버 정보가 출력되지 않는 것을 확인하였다.
'Project > Web Application-모의해킹' 카테고리의 다른 글
[Web Application-모의해킹] 크로스사이트 스크립팅(XSS) : 대응 방안 #6-1 (0) | 2024.05.04 |
---|---|
[Web Application-모의해킹] 정보 누출 : 시큐어 코딩(에러 코드에 대한 별도의 에러처리 루틴 설정) #5-3 (0) | 2024.05.01 |
[Web Application-모의해킹] 정보 누출 : 대응 방안 #5-1 (0) | 2024.05.01 |
[Web Application-모의해킹] 디렉터리 인덱싱 : 시큐어 코딩(웹 서버 설정 파일 변경) #4-3 (0) | 2024.05.01 |
[Web Application-모의해킹] 디렉터리 인덱싱 : 시큐어 코딩(디렉터리 내 초기 페이지 설정) #4-2 (0) | 2024.04.30 |