관리 메뉴
의미없는 블로그
[Appscan] X-Powered-By: Servlet/3.0 본문
불필요한 헤더 제거
X-Powered-By: Servlet/3.0
해당 서버가 Java Servlet 3.0을 사용하고 있다는 의미
Java Servlet API 3.0 버전
- Java EE 6 (J2EE) 기반
- 비동기 서블릿 지원 (AsyncContext)
- 파일 업로드 API 개선
- 웹 애플리케이션이 더 유연한 방식으로 동작 가능
이 서버는 Java Servlet 3.0을 지원하는 Java 기반 웹 애플리케이션 서버(Tomcat, JBoss, WebSphere 등)에서 실행 중일 가능성이 높습니다.
공격자가 X-Powered-By: Servlet/3.0 헤더를 통해 웹 애플리케이션 서버의 버전을 유추할 수 있음.
- 예: Apache Tomcat 7.x (Servlet 3.0 지원) 사용 가능성
- 특정 버전에서 알려진 보안 취약점이 있을 경우, 공격자가 이를 악용할 수 있음.
Tomcat - web.xml
<filter>
<filter-name>RemovePoweredByHeader</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
<init-param>
<param-name>xpoweredby</param-name>
<param-value>false</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>RemovePoweredByHeader</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>server.xml
<Connector port="8080" ...>
<attribute name="xpoweredby" value="false"/>
</Connector>
Comments