웹 서버 소스 코드(HTML) 및 오류 메시지를 통한 운영 정보 노출 시 공개된 취약점으로 인한 악용 위험이 있습니다.
- 보안 조치 방법
1. Apache2.conf 파일에서 ServerTokens을 Pord로 설정한 후 재 시작합니다.
2. PHP 정보를 숨기기 위해 php.ini을 찾아 expose_php를 Off로 설정합니다.
3. 에러 페이지에서 시스템 운영정보를 노출하는 것을 막기 위해 커스텀 에러 페이지를 제작해 띄웁니다.
Apache2.conf 에 해당 부분을 아무 곳에나 추가해주면 Apache2 서버 정보 노출을 막을 수 있다.
ServerTokens Prod
ServerSignature Off
PHP.ini 의 expose.php 부분을 off로 설정해준다. PHP 정보를 숨길 수 있습니다.
이러한 설정에도 에러페이지에서 해당 부분의 노출이 일어나기 때문에 에러 커스텀 페이지를 따로 설정해줍니다.
따로 파일을 만들 수도 있지만 Apache2.conf 문에 설정 추가로 간단한 에러 커스펌 페이지를 내보낼 수 있습니다.
[추가 구문]
[에러 페이지 설정 전]
[에러 페이지 설정 후]
'개발 > PHP' 카테고리의 다른 글
| [PHP]파일 권한 설정 (0) | 2022.04.27 |
|---|---|
| 기본기능을 갖춘 웹 개발 예시 PHP 파일 공유 (0) | 2022.02.25 |
| [시큐어 코딩] PHP - 디렉토리 리스팅 취약점 제거 (0) | 2022.02.20 |
| [시큐어 코딩] PHP - 인가취약점 예방, form 변수 값 자동 넘기기,document.getElementById().submit() 사용. (0) | 2022.02.20 |
| [시큐어 코딩] PHP - 인증 취약점을 막기 위한 세션 변수 사용 (0) | 2022.02.19 |
