톰켓 에러페이지 설정(정보 및 버전 감추기) :: 개발/일상_Mr.lee

톰켓 에러페이지 설정(정보 및 버전 감추기)

Posted by Mr.mandu.
2017. 10. 21. 09:00 개발/was

잊을만 하면 발생되는 웹취약성, 모의해킹...

역시나 보안 취약점 분석 평가 결과가 나왔다.



그중에서 이번에 걸린건 톰켓의 버전 노출!

정보누출 취약점이라고 하던데...다음과 같이 설명 문서가 돌아왔다.


위협 요소

 - 웹 사이트의 민감할 수 있는 부분의 데이터가 노출되는 것으로 개발과정의 코멘트나 에러 메시지 등에서

    중요한 정보가 노출되어 공격자에게 2차 공격을 하기 위한 중요한 정보를 제공할 수 있는 취약점


 - 존재하지 않는 페이지 요청 시 발생한 오류페이지를 통해 서버 버전정보 노출



이제 에러페이지 설정을 시작!

먼저 톰켓을 실행 시키고 제대로 실행 되었는지 확인하였다.

http:localhost:8080/



그리고 톰켓이 있는 디렉토리로 이동하고

conf 디렉토리 밑에 web.xml을 실행 시킨다.

그리고 맨 아래쪽으로 이동! 위의 화면 처럼 소스를 추가할 것이다.


<error-page>

    <error-code>404</error-code>

    <location>/error-404.html</location>

</error-page>


그리고 error-404.html 파일을 만들 예정 입니다.

jsp 페이지로 만들어도 됩니다.


error-404.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
 <head>
  <title> New Document </title>
  <meta name="Generator" content="EditPlus">
  <meta name="Author" content="">
  <meta name="Keywords" content="">
  <meta name="Description" content="">
 </head>

 <body>
page not found.
 </body>
</html>


그냥 에디터 플러스에 html 파일 생성후

page not found만 적었습니다.



그리고 파일을 해당 경로로 이동 시켜주셔야 합니다.

디렉토리 :  톰켓 설치경로 / webapps/Root


마지막으로 톰켓 재기동 하시면 됩니다.



에러 페이지 확인결과 크롬에서는

이전에 생성했던 html 파일이 나옵니다.



하지만 익스플로러에서는 ...페이지를 찾을수 없다고 나오긴하지만

톰켓 버전정보를 숨겼으니 성공!