웹서비스 취약점 점검을 하다 보면 OWASP TOP 10 외에도
Web Server version Disclosure 라는 취약점이 나오는 경우가 있다.
말 그대로 웹서버의 버전이 공개되면서 공격자로 하여금 해당 버전에 맞는 공격을 할 수 있기 때문에 문제가 된다는 것이다 .
취약점 점검 툴로 해 보거나 간단하게 브라우저에서 개발자도구를 통해 Network 를 살펴보면
response에 아래 그림과 같이 설치된 웹 서버의 버전이 표시되는 것을 확인할 수 있다.
이는 매우 간단하게 처리 가능하다.
Tomcat의 server.xml connector 에 server=" "를 추가 하면 아래 그림처럼 버전 정보가 사라진다.
하지만 브라우저를 통해 이렇게 버전 표시가 되는 경우도 있다.
(대부분 각각의 context 에서 403, 404, 500 등의 에러에 대한 에러 페이지를 제공하기 때문에 문제가 되지 않겠지만...)
그렇지 않은 경우에는 이렇게 버전이 표시된다.
Tomcat 설치경로/lib/org/apache/catalina/util/ 로 이동하면 ServerInfo.properties 가 있다.
이곳에 있는 server.info, server.number, server.built 값을 모두 제거하면 해결된다.
만약 Tomcat 설치경로/lib 에 .jar 파일들만 가득하다면 catalina.jar 파일을 압축해제 하고 (jar xvf catalina.jar)
원본 catalina.jar 파일을 다른곳으로 옮기고(옮기지 않으면 이녀석이 다시 load 되기 때문에 적용되지 않을 수 있다.)
위 경로로 들어가면 ServerInfo.properties 파일이 있으니 수정하고 Tomcat 을 재시작 하면 된다.
