본문 바로가기
정보보안

U-71) unix 서버취약점 > 서비스 관리 > Apache 웹 서비스 정보 숨김

by PUPPLESHARK 2023. 3. 3.
반응형

 

U-71 (중) 3. 서비스관리 > Apache 웹 서비스 정보 숨김
취약점 개요
점검내용 Ÿ 웹페이지에서 오류 발생 시 출력되는 메시지 내용 점검
점검목적 Ÿ HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함
보안위협 Ÿ 불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음
참고 -
점검대상 및 판단기준
대상 Ÿ SOLARIS, Linux, AIX, HP-UX
판단기준 양호 : ServerTokens Prod, ServerSignature Off로 설정되어있는 경우
취약 : ServerTokens Prod, ServerSignature Off로 설정되어있지 않은 경우
조치방법 헤더에 최소한의 정보를 제한 후 전송 (ServerTokens 지시자에 Prod 옵션, ServerSignature 지시자에 Off 옵션 설정)
점검 및 조치 사례



SOLARIS, LINUX, AIX, HP-UX
Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후
   #vi /[Apache_home]/conf/httpd.conf

Step 2)
설정된 모든 디렉토리의 ServerTokens 지시자에서 Prod 옵션 설정 및 ServerSignature 지시자에 Off 옵션 설정 (없으면 신규 삽입)

<Directory />
Options Indexes FollowSymlinks ServerTokens Prod ServerSignature Off
- 이하 생략-
</Directory>



 

 

 

 

반응형

댓글