톰켓 에러페이지 설정(정보 및 버전 감추기)
잊을만 하면 발생되는 웹취약성, 모의해킹...
역시나 보안 취약점 분석 평가 결과가 나왔다.
그중에서 이번에 걸린건 톰켓의 버전 노출!
정보누출 취약점이라고 하던데...다음과 같이 설명 문서가 돌아왔다.
위협 요소
- 웹 사이트의 민감할 수 있는 부분의 데이터가 노출되는 것으로 개발과정의 코멘트나 에러 메시지 등에서
중요한 정보가 노출되어 공격자에게 2차 공격을 하기 위한 중요한 정보를 제공할 수 있는 취약점
- 존재하지 않는 페이지 요청 시 발생한 오류페이지를 통해 서버 버전정보 노출
이제 에러페이지 설정을 시작!
먼저 톰켓을 실행 시키고 제대로 실행 되었는지 확인하였다.
http:localhost:8080/
그리고 톰켓이 있는 디렉토리로 이동하고
conf 디렉토리 밑에 web.xml을 실행 시킨다.
그리고 맨 아래쪽으로 이동! 위의 화면 처럼 소스를 추가할 것이다.
<error-page>
<error-code>404</error-code>
<location>/error-404.html</location>
</error-page>
그리고 error-404.html 파일을 만들 예정 입니다.
jsp 페이지로 만들어도 됩니다.
error-404.html
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <title> New Document </title> <meta name="Generator" content="EditPlus"> <meta name="Author" content=""> <meta name="Keywords" content=""> <meta name="Description" content=""> </head> <body> page not found. </body> </html>
그냥 에디터 플러스에 html 파일 생성후
page not found만 적었습니다.
그리고 파일을 해당 경로로 이동 시켜주셔야 합니다.
디렉토리 : 톰켓 설치경로 / webapps/Root
마지막으로 톰켓 재기동 하시면 됩니다.
에러 페이지 확인결과 크롬에서는
이전에 생성했던 html 파일이 나옵니다.
하지만 익스플로러에서는 ...페이지를 찾을수 없다고 나오긴하지만
톰켓 버전정보를 숨겼으니 성공!
'개발 > was' 카테고리의 다른 글
이클립스 톰캣 Server Tomcat v8.0 Server at localhost was unable to start within 45 seconds. (0) | 2018.07.03 |
---|---|
(리눅스, 윈도우)톰캣 server.xml 설정_ 소스올리기 (0) | 2018.06.19 |
이클립스 java.lang.OutOfMemoryError: Java heap space (0) | 2018.05.23 |
리눅스 환경에서 톰캣 하나 더 띄우기(멀티톰캣, 톱캣2개) (2) | 2017.11.28 |
톰켓 메모리 증진 방법(java.lang.OutOfMemoryError: PermGen space) (0) | 2017.10.20 |
Pool 에러(Cannot get a connection, pool error Timeout waiting for idle object) (0) | 2017.10.16 |
Tomcat Post로 넘어가는 파라미터 갯수와 size 설정 (4) | 2017.09.10 |