문제점: Tomcat 버전 정보 노출

https://happylie.tistory.com/180

 

 

해당 블로그 글([보안가이드] Tomcat Version 정보 노출 방지)에서는 Apache Tomcat의 버전 정보가 외부에 노출될 경우 보안상 위험이 증가하므로, 이를 방지하기 위한 설정 방법을 상세히 설명하고 있습니다.온실 속 선인장 🌵🌵

---

🔍 문제점: Tomcat 버전 정보 노출

Tomcat을 기본 설정으로 사용할 경우, 다음과 같은 방식으로 버전 정보가 노출될 수 있습니다:

• Response Header: Server: Apache-Coyote/1.1
• 기본 에러 페이지: <h3>Apache Tomcat/9.0.70</h3>온실 속 선인장 🌵🌵+1Inpa Dev 👨‍💻+1

이러한 정보는 공격자가 특정 버전의 알려진 취약점을 이용하여 시스템을 공격하는 데 활용될 수 있습니다.온실 속 선인장 🌵🌵

---

🔧 해결 방법: 버전 정보 제거 설정

1. Response Header에서 버전 정보 제거

Tomcat의 server.xml 파일에서 <Connector> 태그에 server 속성을 추가하여 서버 정보를 변경합니다:온실 속 선인장 🌵🌵+1LainyZine: Programmer's Guide+1

xml

복사편집

<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" server="Web Server" />

이렇게 설정하면 Response Header의 Server 값이 "Web Server"로 표시되어 실제 Tomcat 버전 정보가 숨겨집니다.온실 속 선인장 🌵🌵

2. 기본 에러 페이지에서 버전 정보 제거

{Tomcat 설치 경로}/lib/org/apache/catalina/util 디렉토리 내의 ServerInfo.properties 파일을 수정하거나 생성하여 다음과 같이 설정합니다:온실 속 선인장 🌵🌵

properties

복사편집

server.info=Web Server server.number=

이 설정을 적용하면 기본 에러 페이지에 표시되는 버전 정보가 "Web Server"로 변경됩니다.온실 속 선인장 🌵🌵

3. 에러 리포트에서 버전 정보 제거

server.xml 파일에 다음과 같은 <Valve> 설정을 추가하여 에러 리포트에 서버 정보가 노출되지 않도록 합니다:온실 속 선인장 🌵🌵

xml

복사편집

<Valve className="org.apache.catalina.valves.ErrorReportValve" showReport="false" showServerInfo="false" />

이 설정을 통해 에러 리포트에서 상세한 서버 정보와 보고서가 표시되지 않도록 할 수 있습니다.

---

✅ 결론

Tomcat의 버전 정보 노출은 보안상 심각한 위협이 될 수 있습니다. 위에서 설명한 설정을 통해 불필요한 정보 노출을 방지하고, 시스템의 보안을 강화하는 것이 중요합니다.

자세한 내용은 원문을 참고하시기 바랍니다: https://happylie.tistory.com/180