외전. 버전정보 숨김 처리

취약점 설명

웹서비스를 운영할 경우 존재하지 않는 디렉터리, 파일 등에 접근하게 되면 Not Found 페이지가 출력된다.

별도의 설정이 없을 경우 Apache의 버전정보가 출력되므로 수정이 필요하다.

딴소리

아니 이거 왜 진단 가이드에 없지;

웹 모의해킹 절차에 있어서 그냥 스킵했나..?

진단 방법

apache2/conf-available 경로의 security.conf 파일을 확인하여 아래 두가지 항목의 활성화 여부 확인

양호 취약 기준

ServerToken OS (취약)

ServerToken Prod (양호)

ServerSignature On (취약)

ServerSignature Off (양호)

참고

조치 후 오류페이지 접근 시

가이드 상은 이정도 조치를 권고하지만, 401, 403, 404 등 통신 오류의 종류를 보여주는 것도 공격자에게 힌트가 될 수 있으므로

하나의 오류페이지를 제작하여 일괄적으로 사용하는 것을 권고한다.