톰캣 서버정보 노출안함 Tomcat Response Header에 Server: 정보 노출 방지

웹취약점 점검에서 요청 및 응답 값 내 주요정보 포함

1. 개요

Tomcat으로 요청을 보낸 후, Response Header를 확인하여 보면, 다음의 "Apache-Coyote/1.1"과 같이 Server: 정보가 노출된다. 크롬 브라우저의 요소 검사 기능 혹은 curl 명령어를 이용해서 확인해 볼 수도 있다.

curl -i http://localhost

혹은 피들러로 확인해 볼 수 있다.

피들러에서 보면

HTTP/1.1 200 OK
Server: Apach-Coyote/1.1
Content-Type: text/html;charset=UTF-8
Content-Language: ko
Transfer-Encoding: chunked
Date: Tue , 02 Jan 2018 04:33:57 GMT

이런식으로 헤더가 있고 서버정보가 표시된다.

이러한 노출을 방지하기 위하여 server.xml의 http Connector 설정에 다음과 같이 server=" "를 추가하고 그 사이에 노출을 원하는 문자열을 삽입한다.

<Connector port="8080" protocol="HTTP/1.1" server="Server"
...

그리고 다음과 같이 다시 curl을 통하여 확인하여 보면 Apache-Coyote/1.1이 아닌 지정한 Server라는 문자열로 표시된다.

단, server=""로 할 경우 원래와 같이 Apache-Coyote/1.1 =가 표시되니 만일 blank 로 표시하고 싶다면 server=" "와 같이 공백을 포함하여 설정한다.

참조
http://sarc.io/index.php/tomcat/240-tomcat-response-header-server