Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- CentOS
- max_execution_time
- laravel
- web cache
- virtualbox 설치
- ifconfig
- virtualbox centos 설치
- Maximum execution
- Client Caching
- ssh
- VirtualBox
- IaaS
- PaaS
- fatal error
- revert
- PHP Time Limit
- git
- virtualbox 리눅스 설치
- Reset
- git log
- ssh접속
- login error message
- login custom error message
- 고정아이피
- 도커
- 30 seconds exceeded
- 도커 컨데이너 빌드업
- Filter Reference login errors
- php
- Git Bash
Archives
- Today
- Total
JB`s 개발이야기
apache 헤더 서버 정보 노출 보안 취약점 본문
이번에 새로운 개발을 맡음으로써 보안 취약점에 대해서 점검이 들어올 예정이라 새로운 보안 취약점에 대해서 배웠습니다. 그래서 따로 정리해 놓으려 합니다.
apache와 php.ini 설정을 디폴트로 해놓거나 따로 설정 하지 않았을 경우 헤더값에 서버 정보들이 노출 되게 됩니다. 위의 정보는 불순한 의도를 가진 사람에게 들어갈 경우 해당 버젼의 취약점이 있다면 보안이 노출되 공격을 더 손쉽게 해주는 단서가 될수 있습니다.
따라서 서버정보와 기타 정보들을 숨기는 방법을 알아 보겠습니다.
※참고로 리눅스 서버에 접속해 헤더정보를 확인 하는 방법이 있습니다.
curl -I http://localhost1. httpd.conf 설정 수정
①apache 서버가 설치 되어있는 경로의 httpd.conf 파일을 수정 해야 합니다.
②vi 로 httpd.conf을 열어줍니다.
③서버 설정을
ServerTokens Prod
ServerSignature Off 으로 바꿔줍니다. 없을경우엔 아무 위치에 추가해주세요.
( vi로 읽는경우 /ServerTokens 로 검색 가능 )
④저장하시고 vi를 나와 주세요.
2. php.ini 설정 수정
①php 설치 되어 있는 경로로 이동해서 php.ini 수정합니다.
②vi로 php.ini를 열어줍니다.
③php.ini 설정을
expose_php = On => expose_php = Off로 바꾸거나 없다면 off 되는 부분을 추가 해줍니다.
④저장하시고 vi를 나와 주세요.
3. 서버를 재시작 해주세요.
4. 리룩스 서버에서 curl 로 확인하거나 해당 사이트에 접속해서 헤더값을 확인해 보세요.
Comments