테크엔카

웹취약점 점검 시 서버 버전의 정보 노출은 서버의 취약점이 존재할 경우 2차 공격에 대한 가능성이 발생하므로 이를 차단하도록 권고를 받았다. URL 에 의미없는 글을 입력하여 오류를 발생시킬 경우 아래와 같이 서버의 버전이 노출된다. 서버의 버전을 숨기는 설정은 아래와 같다. 톰캣의 server.xml 에 아래의 내용을 추가하고, 서버를 재기동하면 서버정보가 노출되지 않는다. 이 요소는 톰캣 서버에서 오류 보고서 및 서버 정보를 숨기는데 사용되는 Valve(밸브)를 설정하는 것이다. Valve는 톰캣의 요청 처리 파이프라인에서 사용되는 구성 요소 중 하나이며, 요청 및 응답에 대한 처리를 조정하는 데 사용된다. 이 XML 요소는 org.apache.catalina.valves.ErrorReportValv..

도메인 입력시 프로토콜 입력 없이 접속할 경우 자동으로 https 로 접속하게 설정해야 할 경우가 있다. 최근 WAS를 설정하며 경험한 사항을 아래에 정리해본다.  1. web.xml 설정   vi 명령어로 web.xml를 열어 제일 아래 아래의 내용을 넣어준다. (vi server.xml)                               Protected Context                 /*                                   CONFIDENTIAL                위의 설정은 톰캣(Tomcat) 서버의 웹 어플리케이션에 대한 보안 제약을 설정하는데 사용된다.  보안 제약을 설정하기 위한 최상위 요소이다. 이 요소 안에는 보안 관련 설정들이 포함된다...

vi 명령을 이용하여 ( vi server.xml ) conf 디렉토리에 있는 server.xml 에 아래 내용을 넣는다. ＊ port: HTTPS 연결을 받을 포트 번호. 보통 443 포트를 사용하나 톰캣은 보안상 하위포트를 사용할 수 없어 8443 이나 4443을 많이 사용한다. ＊ protocol: 사용할 프로토콜을 지정한다. 일반적으로 org.apache.coyote.http11.Http11NioProtocol을 사용. ＊ SSLEnabled: true로 설정하여 SSL을 활성화함. ＊ keystoreFile: SSL 인증서를 저장한 키스토어 파일의 경로를 지정. ＊ keystorePass: 키스토어 파일의 암호를 지정. tomcat 서버를 재시작 한다. /bin/shutdown.sh (톰캣 종료..