웹엔진 헤더정보 숨기기

테스트는 아파치에서 함.

curl -I http://localhost

curl -D- -o /dev/null http://localhost

를 입력하면 현재 웹서버의 헤더 정보를 볼수 있다. 그 때 

server 항목에서 apache버전명이 노출이 된다.

apache 버전이 노출이 되면 해당 버전의 exploit을 이용하여 침투,침해사고가 일어날 수 있다. 

그것을 방지하기 위해 httpd.conf 에서 아래 내용을 추가하면 된다.

1.

<IfModule security2_module>

#                Include conf/crs/modsecurity_crs_10_setup.conf

                 Include conf/crs/modsecurity_crs_10_setup.conf

SecRuleEngine on

ServerTokens Minimal

SecServerSignature "xxx"

</IfModule>

apache 에서 mod_security 모듈이 설치되어 있어야 하며 위 문구 적용 후 apache를 재시작 해주어야 한다.

2.

vi /etc/httpd/conf/httpd.conf

ServerSignature off   #에러 메세지 노출 시 footer 라인에 보여주는 메세지로 활성화 되어있으면 apache 서버의 버전 정보가 노출

ServerTokens Prod     #클라이언트에게 보내는 응답헤더에 들어갈 서버의 정보를 지정

위문구를 적용하고 apache 재시작을 하고, 맨위의 명령어를 다시 입력하면 server 항목에서 apache 버전 대신, xxx라는 문구가 노출이 되게 된다.

** 추가 

nginx 에서도 위와 같이 입력을 하면 nginx의 버전 등 엔진의 정보들이 그대로 출력이 되는 것을 확인하였음