Skip to main content

02. 불필요한 헤더 정보 노출

image.pngimage.png

설명

웹 모의해킹 시 프록시 툴을 사용하여 응답 값을 확인할 때가 많은데 웹서버의 버전 정보가 노출되는 경우가 있다.

php 8.3, nginx 1.27 처럼 EOS가 되지 않은 안전한 버전이라고 하더라도

보안 조치의 기본은 공격 범위를 줄이는 것이기 때문에 불필요하게 정보를 제공할 필요가 없다.

EOS 확인용 페이지

버전을 특정할 수 있다는 것은 해당 버전의 공개된 취약점을 사용해 볼 수 있다는 의미이기 때문에 조치가 필요하다.

기본 값

스크린샷 2025-08-29 235944.png스크린샷 2025-08-29 235944.png

기본값은 expose_php = On -> 취약

* 버전정보를 노출하는 설정은 보통 기본적으로 활성화가 되어있는듯 하다.

딴소리

ExploitDB 라는 페이지가 존재하며 서비스들의 공개된 취약점들이 정리되어 있다.

아직 해당 페이지의 정보로 직접 exploit을 해본적은 없어서 기회가 된다면 공부해볼 예정

image.pngimage.png

조치 방법

01. php 설정 파일 진입

image.pngimage.png

02. expose_php 항목 Off 로 변경

image.pngimage.png





Back to top