제이보스(Jboss)에서 웹 어플리케이션에 서버 측 에러가 발생 시 설정 미흡으로 인해서 외부에 서버 정보가 노출되어 서버침부터 활용 될 가능성을 막는 방법.
Burp Suite를 사용하여 아래와 같이 에러 코드를 확인하였다.
웹 어플리케이션들은 상세한 에러 메시지나 디버그 관련 에러 메시지들을 통해서 내부 상태에 대한 정보를 종종 유출하는데, 이러한 정보는 더욱 강력한 공격들을 준비하거나 심지어 자동화되기 위한 수단이 된다.
그러므로, 기본 에러 처리기를 우선 시 하여 항상 "200" (ok) 에러 화면을 반환하게 함으로써 자동화된 스캐닝 도구가 심각한 에러의 발생 여부를 결정하는 능력을 감소시켜야 한다.
이것은 " 애매함을 통한 보안”으로 특별한 계층의 방어를 제공할 수 있다.
해결방법으로는 D:\jboss-as-7.1.1.Final\standalone\configuration 경로 안에 standalone.xml 파일을 수정해야한다.
아래 파란 글씨로 된 부분을 추가해주자.
<subsystem xmlns="urn:jboss:domain:web:1.1" ... > ....<configuration> <jsp-configuration display-source-fragment="false"/></configuration> --> 추가 ....</subsystem> |
반영 후 다시 Burp suite를 통해 확인해보면 아래와 같이 변경되어 있음을 확인할 수 있다.
※ 참조: https://docs.jboss.org/author/display/AS72/Hardening+Guidelines
