본문 바로가기
OS & Server/Linux

[Apache Tomcat] 응답 헤더의 서버 정보 노출 방지

by 주리니e 2022. 7. 18.
728x90

[Apache Tomcat] 응답 헤더의 서버 정보 노출 방지

 

 

Apache Tomcat(이하 톰캣)8 버전 이하에서는 응답 헤더(Resposne Header)에 Server값을 노출한다. 톰캣은 기본적으로 Apache-Coyote라는 값이 쓰여져 있어 공격자는 해당 취약점을 악용할 수 있으므로 server.xml 파일을 수정해보자. 
톰캣8.5 버전부터는 해당 설정을 보여주지 않으므로 수정할 필요는 없다.

$ curl -I www.playground.co.kr:8080
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Content-Type: text/html;charset=UTF-8
Transfer-Encoding: chunked
Date: Mon, 18 Jul 2022 05:20:12 GMT

Server 정보 노출

 

# 톰캣 홈 디렉토리로 이동
$ cd /usr/share/tomcat8

# server.xml
$ vi /conf/server.xml

 

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443"
               server="playground"/>

 

<connector> 태그를 찾아야 한다. 2개를 찾을 수 있는데 port 속성값이 명시되어 있는 <connector> 태그에다가 server 속성과 임의의 값을 추가한다. 저장 후 서버를 재실행한다. 윈도우에 톰캣 서버를 설치하여 사용하는 경우에도 홈 디렉토리에서 conf 의 server.xml 동일하게 수정하면 된다.

 

$ curl -I www.playground.co.kr:8080
HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8
Transfer-Encoding: chunked
Date: Mon, 18 Jul 2022 05:56:11 GMT
Server: playground

Server 정보 노출 방지

728x90

댓글