웹/웹 보안

웹 서비스 정보 노출 조치 방법

비니화이팅 2022. 10. 18. 02:14

1. 서버 헤더 노출 정보 점검

  • Rewrite 룰을 적용하여 Server 헤더 노출 정보를 제한
<rewrite>
<outboundRules rewriteBeforeCache="true">
<rule name="Remove Server header">
<match serverVariable="RESPONSE_Server" pattern=".*" />
<action type="Rewrite" value="" />
</rule>
</outboundRules>
</rewrite>

위와 같이 Rewrite Rule로 Server 헤더 문자열을 정규표현식 /.*/ 패턴으로 매칭하여 특정 값(value="")으로 변경하여 노출되는 정보를 제한

2. IIS 설정 파일에서 httpErrors 구문 점검

(1) 커스텀으로 설정 (양호)

<system.webServer>
<httpErrors errorMode="Custom" />
</system.webServer>
  • 에러 페이지 설정이 커스텀으로 상세 메시지가 노출되지 않는 설정

(2) 로컬만 커스텀으로 설정(양호)

<system.webServer>
<httpErrors errorMode="DetailedLocalOnly" />
</system.webServer>
  • 상세 에러 페이지가 로컬에서 접근했을 때만 보이고, 원격에서는 상세 메시지 없는 커스텀
  • 또한 이 설정이 디폴트이므로, errorMode 구문이 없다면 양호