본문 바로가기
OS & Server/Linux

[Apache Tomcat] 오류 발생 시 버전 노출 방지

by 주리니e 2022. 7. 18.
728x90

[Apache Tomcat] 오류 발생 시 버전 노출 방지

 

 

Apache Tomcat(이하 톰캣)의 서버 구동 시 오류 페이지를 따로 지정하지 않으면 기본적으로 톰캣에서 제공하는 오류 페이지를 보여준다. 이 오류는 필자가 /err이라는 존재하지 않는 페이지를 호출했을 때 나타난다. 이러한 톰캣의 기본 오류페이지에서는 버전 정보를 노출하므로 공격자는 이를 악용할 소지가 있다. 이 부분에 대한 조치를 취해보자.

Apache Tomcat/10.0.22

 

# 톰캣 홈의 lib 디렉토리로 이동
$ cd /usr/share/tomcat10/lib

# catalina.jar 압축 풀기
$ jar xf catalina.jar

# catalina.jar 백업
$ mv catalina.jar catalina.jar.bak

# 설정 디렉토리로 이동
$ org/apache/catalina/util

# 서버정보 파일 열기
$ vi ServerInfo.properties

 

 

파일을 열어보면 다음과 같이 톰캣의 서버정보를 확인할 수 있다.

server.info=playground #임의의 값
server.number=
server.built=

다음 사항을 위 코드와 같이 수정하여 적용한다.

간략하게 톰캣 기본 홈페이지 및 오류페이지의 버전 노출정보를 수정하였다. 그 외에도 이 오류페이지에서는 HTTP 상태코드(404)를 노출하는데 상태코드 노출 역시 공격자에겐 중요한 정보가 될 수 있어 별도의 오류페이지를 구현해주는 것이 좋다. 아래 그림은 네이버의 오류페이지이다.

728x90

댓글