SRV-043 (Tomcat) 웹 서비스 경로 내 불필요한 파일 존재
【 상세설명 】
웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검
【 판단기준 】
- 양호 : 불필요한 파일이 존재하지 않을 경우
- 취약 :
1. 디폴트 cgi-bin이 존재할 경우
2. 임시 파일, 백업 파일 등이 존재할 경우 디렉터리 리스팅이 허용된 경우
【 판단방법 】
1. 웹 서비스 경로 내 기본으로 설치된 cgi-bin 혹은 임시 파일, 백업 파일 존재 여부 확인
■ Linux, AIX, HP-UX, SOLARIS
# ls -alL $CATALINA_HOME/webapps/docs
# ls -alL $CATALINA_HOME/webapps/examples
# ls -alL $CATALINA_HOME/webapps/host-manager
# ls -alL $CATALINA_HOME/webapps/manager
# ls -alL $CATALINA_HOME/webapps/ROOT
※ Tomcat 을 패키지 관리자로 설치한 경우 “webapps” 폴더가 존재하지 않을 수 있음
※ Tomcat 을 패키지 관리자(apt, yum, dnf 등)로 설치하는 경우 $CATALINA_HOME 경로는 "/etc/tomcat<version>", "/usr/local/tomcat<version>" 등
※ Tomcat 을 Source 파일이나 package 파일로 직접 설치하는 경우 임의 경로를 $CATALINA_HOME 으로 설치 가능
■ Windows
cmd > dir %CATALINA_HOME%\webapps\docs
cmd > dir %CATALINA_HOME%\webapps\examples
cmd > dir %CATALINA_HOME%\webapps\host-manager
cmd > dir %CATALINA_HOME%\webapps\manager
cmd > dir %CATALINA_HOME%\webapps\ROOT
※ 참고
- docs : Tomcat 웹 서비스 도움말 웹 어플리케이션
- examples : Tomcat 웹 서비스 예제 웹 어플리케이션
- host-manager : Tomcat 웹 서비스 호스트 관리 웹 어플리케이션
- manager : Tomcat 웹 서비스 관리 웹 어플리케이션
- ROOT : Tomcat 웹 서비스 샘플 사이트
【 조치방법 】
1. 웹 서비스 경로 내 불필요한 파일 및 디렉터리 삭제
2024-01-13 : (조치과정 삭제)
'인프라 진단 > 전자금융기반시설(서버) - Tomcat' 카테고리의 다른 글
| SRV-048 (Tomcat) 불필요한 웹 서비스 실행 (0) | 2024.01.02 |
|---|---|
| SRV-046 (Tomcat) 웹 서비스 경로 설정 미흡 (0) | 2024.01.02 |
| SRV-044 (Tomcat) 웹 서비스 파일 업로드 및 다운로드 용량 제한 미설정 (0) | 2024.01.02 |