3.35. Apache 웹 서비스 정보 숨김 [U-71] (상) - 주요정보통신기반시설...

3.35. Apache 웹 서비스 정보 숨김 [U-71] (상) - 주요정보통신기반시설...

가. 취약점 개요

■ 내용 : 웹페이지에서 오류 발생 시 출력되는 메시지 내용 점검

■ 목적 : HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함

■ 보안 위협

- 불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음

나. 점검방법

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

■ 판단기준

- 양호 : ServerTokens Prod, ServerSignature Off로 설정되어있는 경우

- 취약 : ServerTokens Prod, ServerSignature Off로 설정되어있지 않은 경우

■ 점검 명령어

OS 점검 파일 SOLARIS, LINUX, AIX, HP-UX ServerTokens, ServerSignature 옵션 설정 여부 확인

# vi /[Apache_Home]/conf/httpd.conf ServerTokens Prod

ServerSignature off “httpd.conf” 파일 내에 ServerTokens, ServerSignature 지시자가 위와 같이 설정되어 있지 않은 경우 아래의 보안설정방법에 따라 옵션 추가

다. 조치방법

■ 조치방법 : 헤더에 최소한의 정보를 제한 후 전송 (ServerTokens 지시자에 Prod 옵션, ServerSignature 지시자에 Off 옵션 설정)

■ SOLARIS, LINUX, AIX, HP-UX

Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후

#vi /[Apache_home]/conf/httpd.conf

Step 2) 설정된 모든 디렉터리의 ServerTokens 지시자에서 Prod 옵션 설정 및 ServerSignature Off 지시자에 Off 옵션 설정 (없으면 신규 삽입)

Options Indexes FollowSymlinks

ServerTokens Prod

ServerSignature Off

- 이하 생략 -

ServerTokens 지시자 옵션 키워드 제공하는 정보 예문 Prod 웹 서버 종류 Apache Min 웹 서버 버전 Apache/2.2.3 OS 웹 서버 버전 + 운영체제 Apache/2.2.3 (CentOS) ( 기본값 ) Full 웹 서버의 모든 정보 Apache/2.2.3 (CentOS) DAV/2

PHP/5.16

라. 조치시 영향

■ 일반적인 경우 영향 없음

from http://jaeminsg.tistory.com/79 by ccl(A) rewrite - 2021-11-08 08:01:32