SRV-148 (Tomcat) 웹 서비스 정보 노출

SRV-148 (Tomcat) 웹 서비스 정보 노출

【 상세설명 】
웹 서버 종류 및 버전 등에 대한 정보가 노출될 경우 공격자가 기타 공격에 활용할 가능성이 있으므로 적절한 보안 설정이 되었는지 점검

【 판단기준 】
- 양호 : 웹 서버 응답에 노출되는 정보가 없는 경우
- 취약 : 웹 서버 응답에 노출되는 정보(서비스명 + 버전정보)가 있는 경우

※ 정보 노출: 서비스명 + 버전 정보가 노출되는 경우 취약

【 판단방법 】
1. 웹 서비스 설정 파일에서 웹 서비스 정보 노출 제한 설정 확인
    ※ HTTP Connector 설정에서 "server" 문구 확인
    ※ Tomcat 8.5 이상 버전은 응답 메시지 헤더에 server 값이 기본적으로 노출되지 않지만 server 정보 노출 설정 가능

  ■ Linux, AIX, HP-UX, SOLARIS
      # cat $CATALINA_HOME/server.xml
      # cat $CATALINA_HOME/conf/server.xml

  ■ Windows
      cmd > notepad %CATALINA_HOME%\server.xml
      cmd > notepad %CATALINA_HOME%\config\server.xml

          <Connector port="8080" protocol="HTTP/1.1"
              connectionTimeout="20000"
              redirectPort="8443"
              maxParameterCount="1000"
              />

【 조치방법 】
1. 웹 서비스 설정 파일에서 웹 서비스 정보 노출 제한 설정 확인
    ※ HTTP Connector 설정에서 "server" 문구 설정
    ※ "server" 문구를 빈 내용으로 설정하려면 server=" "로 설정(server="" 은 미적용 되는 설정)

  2024-01-13 : (조치과정 삭제)