# 02. 불필요한 헤더 정보 노출

![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-08/scaled-1680-/gYLENCOtWI9z20CC-image.png)

<p class="callout info">설명</p>

**웹 모의해킹 시 프록시 툴을 사용하여 응답 값을 확인할 때가 많은데 웹서버의 버전 정보가 노출되는 경우가 있다.**

**php 8.3, nginx 1.27 처럼 EOS가 되지 않은 안전한 버전이라고 하더라도**

**보안 조치의 기본은 공격 범위를 줄이는 것이기 때문에 불필요하게 정보를 제공할 필요가 없다.**

[**EOS 확인용 페이지**](https://endoflife.date/)

**버전을 특정할 수 있다는 것은 해당 버전의 공개된 취약점을 사용해 볼 수 있다는 의미이기 때문에 조치가 필요하다.**

<p class="callout info">기본 값</p>

![스크린샷 2025-08-29 235944.png](https://www.ochidstudy.com/uploads/images/gallery/2025-08/scaled-1680-/O1NN6yiv1K9rO3fF-2025-08-29-235944.png)

**기본값은 expose\_php = On -&gt; 취약**

**\* 버전정보를 노출하는 설정은 보통 기본적으로 활성화가 되어있는듯 하다.**

<p class="callout info">딴소리</p>

[**ExploitDB** ](https://www.exploit-db.com/)**라는 페이지가 존재하며 서비스들의 공개된 취약점들이 정리되어 있다.**

**아직 해당 페이지의 정보로 직접 exploit을 해본적은 없어서 기회가 된다면 공부해볼 예정**

![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-08/scaled-1680-/QOdPtcIci0cjhMNl-image.png)

<p class="callout warning">조치 방법</p>

**01. php 설정 파일 진입**

![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-08/scaled-1680-/OJsyMQDqN30UiyCa-image.png)

**02. expose\_php 항목 Off 로 변경**

![image.png](https://www.ochidstudy.com/uploads/images/gallery/2025-08/scaled-1680-/uY1VUnsyZ24zWfcW-image.png)