보안취약점 점검 결과에서
ServerTokens, ServerSignature 에 대한 설정이 없어 위험하다는 결과가 나왔다.
어떤 항목인지, 어떻게 조치하는지 알아보자.
1. ServerTokens
응답 헤더에 노출되는 서버 정보 수준.
클라이언트에 보내는 HTTP Response Header 중 Server: 항목에 어떤 수준까지 서버 정보를 보여줄지를 결정하는 옵션이다.
아래는 예시이다.
ServerTokens Full: Apache/2.4.57 (Unix) OpenSSL/1.1.1g PHP/7.4.3
ServerTokens Prod: Apache
ServerTokens Full 은 상세하게 보여주는 반면,
ServerTokens Prod 는 최소 정보만을 보여준다.
-> 공격자에게 버전 정보를 주지 않으므로 취약점 스캔 위험을 줄여준다.
2. ServerSignature
Apache가 표시하는 에러 페이지(404, 500 등) 아래쪽에 서버 정보를 보여줄지를 제어하는 설정이다.
ServerSignature On: Apache/2.4.57 (Unix) Server at example.com Port 80
ServerSignature Off: 아무 정보도 없음
-> 서버 버전과 포트 정보가 화면에 직접 찍히는 것을 방지한다.
설정파일을 잘 설정해서 보안취약점에 대비하자~!
'Backend' 카테고리의 다른 글
| Chunk Commit (0) | 2025.12.28 |
|---|---|
| JVM GC (0) | 2025.12.21 |
| JTA(Transaction) Timeout (0) | 2025.11.30 |
| Files.delete()와 deleteIfExists() 차이점 (0) | 2025.11.16 |
| 대용량 테이블에 컬럼 추가 영향도 정리 (0) | 2025.11.16 |