친구가 취약점 분석을 해주다 Server 정보로 트집을 잡았다.
Header 에서 Nginx 를 사용한다는 정보가 나온다는 것.
server_tokens 로 서버 버전을 숨길 수 있는 것은 알고있었지만, 그 동안에 Server 이름을 숨기는 것은 웹서버 커스터마이징을 제외하고는 없다고 생각하고 있어서 말도 안되는 취약점이라고 생각했다.
(크게 신경쓰지않아도 된다고는 했다. 정작 본인은 취약점이라고 생각치도 않았지만.)
하지만 생각을 바꿔 인터넷을 조금 뒤져보니, 너무 쉽게 변경할 수 있었다.
본인은 Ubuntu 를 사용하므로,
apt-get install nginx-extras 명령어를 실행 후, 이후에 nginx.conf 에 다음과 같은 코드를 추가했다.
more_set_headers "Server: RGB place"; #새로추가
server_tokens off; #원래 있었음
nginx -s reload 해주고, 개발자 도구에서 확인하면 아래와 같이 나온다.
이 포스트에서 이미 Nginx 를 사용한다고 써버렸기 때문에 의미는 없지만 😅
Header 정보를 이렇게 바꿀 수 있다는게 신기한 것 같다.
참고 : https://www.getpagespeed.com/server-setup/nginx/how-to-remove-the-server-header-in-ngin
https://stackoverflow.com/questions/24594971/how-to-changehide-the-nginx-server-signature
'이전 프로젝트 > [deprecated] RGB place' 카테고리의 다른 글
[RGB place] 5. 실시간 사용자 집계에 대한 고찰 (0) | 2019.11.18 |
---|---|
[RGB place] 4. Javascript 에서 암호화 후 PHP 에서 복호화 하기 (0) | 2019.11.12 |
[RGB place] 2. 검색 취약점 보완 : Blind SQL Injection (0) | 2019.11.07 |
[RGB place] 1. 사이트 초기 모델 완성. (0) | 2019.08.01 |
[RGB place] 0. 개인 프로젝트의 근황 정리 (0) | 2017.06.09 |