728x90
[Apache Tomcat] 오류 발생 시 버전 노출 방지
Apache Tomcat(이하 톰캣)의 서버 구동 시 오류 페이지를 따로 지정하지 않으면 기본적으로 톰캣에서 제공하는 오류 페이지를 보여준다. 이 오류는 필자가 /err이라는 존재하지 않는 페이지를 호출했을 때 나타난다. 이러한 톰캣의 기본 오류페이지에서는 버전 정보를 노출하므로 공격자는 이를 악용할 소지가 있다. 이 부분에 대한 조치를 취해보자.
# 톰캣 홈의 lib 디렉토리로 이동
$ cd /usr/share/tomcat10/lib
# catalina.jar 압축 풀기
$ jar xf catalina.jar
# catalina.jar 백업
$ mv catalina.jar catalina.jar.bak
# 설정 디렉토리로 이동
$ org/apache/catalina/util
# 서버정보 파일 열기
$ vi ServerInfo.properties
파일을 열어보면 다음과 같이 톰캣의 서버정보를 확인할 수 있다.
server.info=playground #임의의 값
server.number=
server.built=
다음 사항을 위 코드와 같이 수정하여 적용한다.
간략하게 톰캣 기본 홈페이지 및 오류페이지의 버전 노출정보를 수정하였다. 그 외에도 이 오류페이지에서는 HTTP 상태코드(404)를 노출하는데 상태코드 노출 역시 공격자에겐 중요한 정보가 될 수 있어 별도의 오류페이지를 구현해주는 것이 좋다. 아래 그림은 네이버의 오류페이지이다.
728x90
'OS & Server > Linux' 카테고리의 다른 글
[Apache Tomcat] 톰캣 일자별 로그 나누기 (0) | 2022.07.19 |
---|---|
[Centos7] mod_jk를 이용한 Apache 와 Tomcat 연동 (0) | 2022.07.19 |
[Apache Tomcat] 응답 헤더의 서버 정보 노출 방지 (0) | 2022.07.18 |
[Centos7] root 계정이 아닌 일반 계정으로 Apache Tomcat 실행하기 (0) | 2022.07.15 |
[Centos7] Apache Tomcat10 설치 (0) | 2022.07.15 |
댓글