| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
- 글자 수 제한
- 구글뷰어
- 우분투 npm 설치
- 페이지전환효과
- 우분투
- 자바스크립트
- 날짜비교
- SSL
- 정부 서비스 가이드라인
- 비동기호출
- virsualhost
- selinux
- .htaccess
- MySQL
- 날짜변환
- 보안인증서
- Ajax
- 리사이즈
- 정규식
- Vanilla JS
- ip직접접근차단
- JS
- iframe
- 글자수제한
- 301 리다이렉트
- 애니메이트
- JavaScript
- 배열
- 디지털 정부서비스ui/ux
- post_type
- Today
- Total
더 나은 프로그래머가 되자
헤더 정보 누출 보안 취약점 php.ini ,httpd.conf 수정 본문
이번 글은 헤더에 노출되는 값들을 다뤄본다.
헤더의 특정 정보들은 노출되면 보안 취약점으로 판단됨으로써, 조치 명령을 받을 수 있다.
보안 취약점과 관련된 헤더의 Server와 X-Powered-By 정보에 대해 알아볼 것이다.
웹 페이지의 헤더 정보는 개발자 도구에서도 확인 가능하고, 프록시 툴에서도 확인할 수 있다.
위 이미지를 보면 특정 웹 페이지의 헤더 정보들을 볼 수 있다.
Server : Microsoft-IIS/7.0
X-Powered-By: PHP/5.5.30
Server는 서버의 종류이자 버전이다.
X-Powered-By는 어떤 기술로 개발되었는 것이라고 생각하면 된다.
보안을 위협하는 입장에서는 위의 서버의 정보들을 활용해서 서버에 해당하는 취약점들을 더 확실히 알고 보안을 위협할 수 있게 해주게 되는 것이다.
PHP와 Apache의 경우는 아래와 같이 수정하면 정보를 숨길 수 있다.
간단히 php.ini 파일과 httpd.conf 파일을 수정해주면 된다.
php.ini
expose_php = On => expose_php = Off
httpd.conf
ServerTokens OS => ServerToekns Prod
그 후 아파치를 재시작해주면 Server와 X-Powered-By 정보가 숨겨진 걸 확인할 수 있다.
nodejs의 express를 사용할 경우는 아래와 같다.
app.disable('x-powered-by');
원하는 서버의 정보가 숨겨진 걸 확인할 수 있다.
이만 안녕.
x-powered-by 의미
http://stackoverflow.com/questions/33580671/what-does-x-powered-by-means
출처: http://mygumi.tistory.com/92 [마이구미의 HelloWorld]
'리눅스' 카테고리의 다른 글
| php configure 옵션 확인 (0) | 2018.10.10 |
|---|---|
| apache 빌드 옵션 확인 방법 (0) | 2018.10.10 |
| 디렉토리 용량 확인 방법 (0) | 2015.05.21 |
| 파일 조건 삭제,일정기간 지난 파일 삭제 (0) | 2014.10.08 |
| 파일접근 금지,직접링크 금지,이미지 보호하기 (0) | 2014.09.26 |