WAS의 정보는 보안 입장에서 개인정보와 같은 개념입니다. WAS 종류, 버전, 서버 운영체제 정보 등은 기본 설정 그대로를 사용하면 은연 중에 노출됩니다. 그리고 알려진 취약점을 이용해 공격자가 WAS에 문제를 일으키기 쉽습니다. 이 글에서는 WAS의 정보가 담긴 구성 요소들을 제어하는 방법을 소개합니다.
WAS
[여기보기] WAS의 정보는 개인정보 다루듯이 보호하라
[여기보기] 적에게 내 WAS의 디렉터리와 파일을 알리지 말라, WAS 디렉터리 인덱싱 및 상위 디렉터리 접근 제한
공개 배포해야 하는 파일이 많은 서비스가 아니라면 WAS의 디렉터리 구조는 노출하지 않아야 합니다. 이번에는 WAS에서 디렉터리 인덱싱 취약점을 노출하지 않는 방법과 노출해야 하더라도 상위 디렉터리에 이동 제한을 설정해 접근할 수 없게 만드는 방법을 살펴보겠습니다.
[여기보기] ChatGPT도 알고 있는 WAS 설정 파일 관리와 세션 타임아웃
WAS의 설정 파일(주요 소스 코드 파일이나 설정 파일)에 아무나 접근할 수 있다면 서비스가 비정상적으로 동작하거나 중지될 우려가 있습니다. 혹은 WAS의 위조나 변조, 백도어 삽입 등의 피해도 발생할 수 있죠. 이러한 일을 막으려면 전용 서비스 계정 혹은 서비스 그룹에만
[여기보기] WAS 프로세스가 다진 마음은 루트와 헤어질 결심
WAS 프로세스를 보호하려면 관리자 계정으로 구동하지 말아야 합니다. 이는 프로세스의 실행 계정이나 그룹이 root나 Administrator여서는 안 된다는 뜻입니다. 여기에서는 윈도우의 IIS, 아파치 HTTP 서버, 톰캣, NGINX, 스프링부트, Node.js의 여섯…
[여기보기] 누구나 아는 기본 계정명은 비밀이 아니다
WAS에는 핵심 기능을 제어하는 관리자 콘솔을 제공합니다. 그런데 처음 실무 환경에서 일할 때는 관리자 콘솔의 보안성을 소홀히 생각하기 쉽습니다. 기본으로 제공하는 계정명과 패스워드가 있기 때문입니다. 특히 외부에 공개되지 않는 서비스라면 변경하기 귀찮다는 이유로 기본 계정명과…