응답 메시지 내 서버 버전 정보 제거
1. Apache
- 1) 조치 방법
-
“/etc/htpd/conf/httpd.conf” 파일 안에서
1. ServerTokens OS → ServerTokens Prod
2. ServerSignature On → ServerSignature Off
로 변경한 후 아파치를 재시작하면 헤더 값의 아파치 버전 정보 및 OS 정보를 제거할 수 있다.
- 2) 참고 URL
-
http://zetawiki.com/wiki/CentOS_아파치_보안권장설정_ServerTokens_Prod,_ServerSignature_Off
2. IIS
1) 조치 방법
IIS 6.0
- urlscan_setup 실행. 설치.
- \windows\system32\inetsrv\urlscan\urlscan.ini 파일을 열어 다음 수정(RemoveServerHeader=0 을 RemoveServerHeader=1 로 변경)
- 서비스에서 IIS Admin Service 재시작.
IIS 7.0
- IIS 관리자를 열고 관리하려는 수준으로 이동합니다.
- 기능 보기에서 HTTP 응답 헤더를 두 번 클릭합니다.
- HTTP 응답 헤더 페이지에서 제거할 헤더를 선택합니다.
- 작업 창에서 제거를 클릭하고 예를 클릭합니다.
2) 참고 URL
- IIS 6.0 : http://gonnie.tistory.com/entry/iis6-응답헤더-감추기
- IIS 7.0 : https://technet.microsoft.com/ko-kr/library/cc733102(v=ws.10).aspx
3. jetty
- 1) 조치 방법
-
“jetty.xml” 파일에서 jetty.send.server.version=false 설정
4. Nginx
- 1) 조치 방법
-
“/etc/nginx/sites-available/default” 파일 혹은 “nginx.conf” 파일에서 server_tokens off; 설정
- 2) 참고 URL
5. NodeJS
- 1) 조치 방법
-
NodeJS의 경우 별도로 Response Message에 버전을 포함하지 않으면 버전 정보가 전달되지 않는다. (res.setHeader, res.writeHead)
- 2) 참고 URL
6. Resin
- 1) 조치 방법
-
“resin.xml” 파일을 열어서 태그 밑에 Foo/1.0 을 입력한다.
ex.
<cluster id="app-tier">
...
<server-header>Foo/1.0</server-header>
...
<host id="">
...
</host>
</cluster>
</resin>7. Tomcat
1) 조치 방법
- 응답 헤더의 버전 정보 제거
-
“server.xml” 파일을 열어서 Connector 태그에 protocol과 server 속성을 추가하여 헤더 값에 포함될 서버 정보를 지정할 수 있다.
ex.
- 에러 페이지 내 버전 정보 제거
-
“org/apache/catalina/util/ServerInfo.properties” 파일을 열어서 server.info=Apache Tomcat Version 7.0.35 → server.info=Apache Tomcat Version X
(버전 확인이 필요할 시 사용 스크립트 파일 : $CATALINA_HOME/bin/version.sh)