문제) 아래와 같은 형식으로 웹서버의 버전 정보가 Response 헤더를 통해 노출된다
Apache/2.2.13 (Unix) mod_ssl/2.2.13 OpenSSL/1.0.0e mod_jk/1.2.28
해결) 이 정보의 노출을 최소화 하기위해 아래와 같이 설정을 변경하여 문제를 해결한다.
# vi /usr/local/apach2_ssl/conf/httpd.conf
아래의 설정이 없다면 추가한다.
ServerTokens Prod
아파치를 재구동 후 확인해보면 아래처럼 개선된 것을 볼 수 있다.
Apache
* http response 헤더 정보는 파이어폭스의 부가기능인 http fox 를 통해 확인하였다.
ServerTokens 항목의 옵션 값
----------------------------------------------------------------
* Prod : 웹서버의 이름만 노출함 (최소의 정보만 보여줌)
노출값) Apache
* Major : 웹서버의 이름, Major 버전을 노출함
노출값) Apache/2
* Minor : 웹서버의 이름, Minor 버전을 노출함
노출값) Apache/2.2
* Min : 웹서버의 이름, Minimum 버전을 노출함
노출값) Apache/2.2.13
* OS : 웹서버의 이름과 버전, 운영체제를 노출함 (Default 값)
노출값) Apache/2.2.13 (Unix)
* Full : 모든 정보를 노출함 (웹서버, 운영체제 등)
노출값) Apache/2.2.13 (Unix) DAV/2 PHP/5.1.6