[Web Application-모의해킹] 정보 누출 : 시큐어 코딩(웹 서버 설정 파일 변경) #5-2

2024. 5. 1. 20:06Project/Web Application-모의해킹

 

시큐어 코딩 : 웹 서버 버전 노출 방지

 

1) 개요

 

  Project:Web Site 웹 사이트 에러 페이지에서 발견된 정보 누출 취약점을 방지하기 위하여 대응 방안 중 하나인 웹 서버 설정 파일을 변경하여 실제로 정보 누출 취약점을 방지할 수 있는지 확인한다.

 

 

2) 방법

 

  Project:Web Site 웹 사이트에서 에러가 발생하면 출력되는 에러 페이지에서 웹 서버 버전이 노출되는 것을 확인할 수 있다. 이는 웹 서버마다 설정 파일이 존재하며 해당 파일에서 웹 서버 버전 노출 정도를 설정하는 것으로 해결할 수 있다. 본 웹 사이트는 Apache를 사용하므로 설정 파일인 httpd.conf에서 ServerTokens, ServerSignature 옵션 값을 조정하여 웹 서버 버전 노출 정도를 설정한다.

 

 

3) 시큐어 코딩

 

[1] Apache 내 httpd.conf 파일 설정

 

 

  웹 브라우저 주소창에 웹 서버 내 존재하지 않는 파일을 요청하여 에러를 의도적으로 유발하여 에러 페이지가 출력되었다. 에러 페이지가 출력되었더니 웹 서버 버전 정보가 자세히 노출되어 있는 것을 확인하였다.

 

 

  httpd.conf 또는 apache2.conf 파일에서 먼저 ServerTokens 옵션 값을 Prod로 설정하여 웹 서버 이름만 나오도록 설정한다.

 

 

  에러 페이지를 출력했더니 웹 서버 이름만 나오는 것을 확인하였다.

 

 

  이번에는 ServerSignature 옵션 값을 Off로 설정하여 웹 브라우저 상에 웹 서버 정보가 노출되지 않도록 설정한다.

 

 

  에러 페이지를 출력했더니 에러 메시지 하단에 출력되어야할 웹 서버 정보가 출력되지 않는 것을 확인하였다.