인프라 진단/전자금융기반시설(서버) - Tomcat7 SRV-148 (Tomcat) 웹 서비스 정보 노출 SRV-148 (Tomcat) 웹 서비스 정보 노출 【 상세설명 】 웹 서버 종류 및 버전 등에 대한 정보가 노출될 경우 공격자가 기타 공격에 활용할 가능성이 있으므로 적절한 보안 설정이 되었는지 점검 【 판단기준 】 - 양호 : 웹 서버 응답에 노출되는 정보가 없는 경우 - 취약 : 웹 서버 응답에 노출되는 정보(서비스명 + 버전정보)가 있는 경우 ※ 정보 노출: 서비스명 + 버전 정보가 노출되는 경우 취약 【 판단방법 】 1. 웹 서비스 설정 파일에서 웹 서비스 정보 노출 제한 설정 확인 ※ HTTP Connector 설정에서 "server" 문구 확인 ※ Tomcat 8.5 이상 버전은 응답 메시지 헤더에 server 값이 기본적으로 노출되지 않지만 server 정보 노출 설정 가능 ■ Linux,.. 2024. 1. 4. SRV-118 (Tomcat) 주기적인 보안패치 및 벤더 권고사항 미적용 보호되어 있는 글 입니다. 2024. 1. 4. SRV-060 (Tomcat) 웹 서비스 기본 계정(아이디 또는 비밀번호) 미변경 SRV-060 (Tomcat) 웹 서비스 기본 계정(아이디 또는 비밀번호) 미변경 【 상세설명 】 Tomcat은 Apache 웹 서버에 JSP와 자바 서블릿을 실행시킬 수 있는 기능을 제공하는 자바 애플리케이션 서버로 Tomcat이 설치될 때 기본으로 설정되는 계정을 변경하지 않을 경우 비인가자에 의한 시스템 접근이 발생할 수 있으므로 기본 계정에 대한 보안 설정의 적절성 여부를 점검 【 판단기준 】 - 양호 : 관리자 계정/패스워드가 디폴트 설정 이외의 다른 값으로 설정되어 있을 경우 - 취약 : 관리자 계정/패스워드가 디폴트 값으로 설정되어 있을 경우 【 판단방법 】 1. 웹 서비스 콘솔 계정 및 비밀번호 설정 확인 ※ Tomcat 설정 파일의 "tomcat-users" 의 콘솔 계정 및 비밀번호 설.. 2024. 1. 2. SRV-048 (Tomcat) 불필요한 웹 서비스 실행 보호되어 있는 글 입니다. 2024. 1. 2. SRV-046 (Tomcat) 웹 서비스 경로 설정 미흡 보호되어 있는 글 입니다. 2024. 1. 2. SRV-044 (Tomcat) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 SRV-044 (Tomcat) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 【 상세설명 】 웹 서버에 불필요한 대량의 파일 업로드, 다운로드로 인한 서비스 거부 공격 위협이 존재하므로, 서버에 영향을 줄 정도의 대량의 업로드와 다운로드에 대한 통제 여부를 점검 【 판단기준 】 - 양호 : 파일 업로드 및 다운로드 용량 제한이 설정이 되어 있을 경우 - 취약 : 파일 업로드 및 다운로드 용량 제한이 설정이 안되어 있을 경우 【 판단방법 】 1. 웹 서비스 설정 파일에서 웹 서비스 파일 업로드 및 다운로드 용량 제한 설정 확인 ※ Connector 설정 내 “maxSwallowSize”, “maxPostSize” 설정 확인("unlimited" 설정 시 "취약") 2. (웹 콘솔을 사용하는 경우) .. 2024. 1. 2. SRV-043 (Tomcat) 웹 서비스 경로 내 불필요한 파일 존재 SRV-043 (Tomcat) 웹 서비스 경로 내 불필요한 파일 존재 【 상세설명 】 웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검 【 판단기준 】 - 양호 : 불필요한 파일이 존재하지 않을 경우 - 취약 : 1. 디폴트 cgi-bin이 존재할 경우 2. 임시 파일, 백업 파일 등이 존재할 경우 디렉터리 리스팅이 허용된 경우 【 판단방법 】 1. 웹 서비스 경로 내 기본으로 설치된 cgi-bin 혹은 임시 파일, 백업 파일 존재 여부 확인 ■ Linux, AIX, HP-UX, SOLARIS # ls -alL $CATALINA_HOME/webapps/docs # ls -alL $CATALINA_HOME.. 2024. 1. 2. 이전 1 다음