Tomcat을 이용하여 웹 애플리케이션을 구성할 때, 익셉션이 발생할 때 아래와 같은 페이지를 종종 맞닥뜨린 적이 있을 것입니다. 이 에러 페이지에는 404 라는 HTTP 상태코드 외에도 Tomcat버전도 함께 출력되어있습니다. Tomcat Server 정보는 위와같은 에러페이지 이외에 api header 에서도 등장되곤 합니다. Server 종류나, 버전이 노출될 경우 해당 서버 및 버전에 관한 취약점을 이용하여 서버에 공격을 할 수 있기 때문에 서버관련 정보는 변경하는 것을 권장합니다. Tomcat의 서버 관련 정보는 $CATALINA_BASE/lib/catalina.jar내에 있는 'org.apache.catalina.util.ServerInfo' 클래스로부터 읽어들이며, Serv..

Tomcat에는 필요에 따라 서버 구성을 다양하게 할 수 있습니다. 하지만, 어떤 설정은 서버 보안을 취약하게 만들 수 있습니다. 이번 포스팅에서는 Tomcat의 설정을 통해 취약점을 보완하는 방법을 알아볼 예정입니다. 취약점을 보완하여 서버의 보안을 향상시킬 수 있는 방법을 간략히 소개하면 아래와 같습니다. WAS에 대한 정보 노출을 막기 기본 웹애플리케이션을 삭제하기 불필요한 로그 설정 해제 Tomcat의 디렉토리 및 파일들 접근 권한 제한하기 보안을 취약하게 하는 옵션 사용 금지 ※ Apache Tomcat 9 User Guide의 28. Security Considerations에 들어가면 Tomcat 보안 고려사항에 대하여 확인할 수 있습니다. Tomcat 버전정보 및 Built 날짜 변경하기 ..

개요 private key 생성 및 서버인증서 발급 Keystore 생성 및 적용 3-1) keystore? 3-2) PKCS12 포맷으로 변환하기 3-3) 프로퍼티에 SSL/TLS 인증서 설정하기 3-4) 방화벽 개방 1. 개요 단독 실행 가능한 Jar로 Spring Boot 애플리케이션을 패키징 할 경우, Spring Boot 애플리케이션은 내장 톰캣(Embedded Tomcat)을 이용하여 앱을 실행시킵니다. 내장 톰캣에 대한 설정은 application.yml 구성파일에서 설정할 수 있습니다. 아래 코드는 application.yml의 서버관련 부분입니다. server: address: 호스트주소 servlet: context-path: / port: 서비스할 포트 ssl: enabled: tru..