가. 취약점 개요
■ 내용 : 웹페이지에서 오류 발생 시 출력되는 메시지 내용 점검
■ 목적 : HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함
■ 보안 위협
- 불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음
나. 점검방법
■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등
■ 판단기준
- 양호 : ServerTokens Prod, ServerSignature Off로 설정되어있는 경우
- 취약 : ServerTokens Prod, ServerSignature Off로 설정되어있지 않은 경우
■ 점검 명령어
| OS | 점검 파일 |
| SOLARIS, LINUX, AIX, HP-UX | ServerTokens, ServerSignature 옵션 설정 여부 확인 # vi /[Apache_Home]/conf/httpd.conf ServerTokens Prod ServerSignature off |
| “httpd.conf” 파일 내에 ServerTokens, ServerSignature 지시자가 위와 같이 설정되어 있지 않은 경우 아래의 보안설정방법에 따라 옵션 추가 | |
다. 조치방법
■ 조치방법 : 헤더에 최소한의 정보를 제한 후 전송 (ServerTokens 지시자에 Prod 옵션, ServerSignature 지시자에 Off 옵션 설정)
■ SOLARIS, LINUX, AIX, HP-UX
Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후
#vi /[Apache_home]/conf/httpd.conf
Step 2) 설정된 모든 디렉터리의 ServerTokens 지시자에서 Prod 옵션 설정 및 ServerSignature Off 지시자에 Off 옵션 설정 (없으면 신규 삽입)
| <Directory /> Options Indexes FollowSymlinks ServerTokens Prod ServerSignature Off - 이하 생략- </Directory> |
| ServerTokens 지시자 옵션 | ||
| 키워드 | 제공하는 정보 | 예문 |
| Prod | 웹 서버 종류 | Apache |
| Min | 웹 서버 버전 | Apache/2.2.3 |
| OS | 웹 서버 버전 + 운영체제 | Apache/2.2.3 (CentOS) (기본값) |
| Full | 웹 서버의 모든 정보 | Apache/2.2.3 (CentOS) DAV/2 PHP/5.16 |
라. 조치시 영향
■ 일반적인 경우 영향 없음