728x90
ServerTokens : curl --head {URL}을 통해 요청 시, response의 head 값으로 server 정보가 모두 노출될 수 있는데, ServerTokens 값으로 이를 제한할 수 있음.
- Prod : Webserver 이름만 노출
- Major : Webserver 이름 & Major 비전번호 노출
- Minor : Webserver 이름 & Minor 버전 노출
- Min : Webserver 이름 & Minimum 버전 노출
- OS : Webserver 이름 & 버전 & 운영체제 기본값으로 노출
- Full : 최대한의 정보 모두 노출
ex >
[weblogic@localhost jh_domain]$ curl -v -X POST 192.168.56.242:8080/OFM/test.html * Trying 192.168.56.242... * TCP_NODELAY set * Connected to 192.168.56.242 (192.168.56.242) port 8080 (#0) > POST /OFM/test.html HTTP/1.1 > Host: 192.168.56.242:8080 > User-Agent: curl/7.61.1 > Accept: */* > < HTTP/1.1 200 OK < Date: Tue, 05 Jul 2022 06:21:40 GMT < Server: Oracle-HTTP-Server-12.2.1.4.0/2.4.39 (Unix) mod_ossl/12.2.1.4.0 < X-Content-Type-Options: nosniff < Accept-Ranges: bytes < Content-Length: 66 < Last-Modified: Thu, 07 Oct 2021 08:35:20 GMT < X-ORACLE-DMS-ECID: 005skZT_gw_Fw00Fzzw0w0000Aog000002 < X-ORACLE-DMS-RID: 0:1 < X-XSS-Protection: 1; mode=block < Content-Security-Policy: default-src 'none'; < Content-Type: text/html < <html> <head> </head> <body> this is .html file. </body> </html> * Connection #0 to host 192.168.56.242 left intact |
해당 빨강 부분의 내용이 ServerTokens의 내용에 따라 변경되는 사항들이다.
default는 ServerTokens를 사용하지 않는 것이다.
================================================================================
ServerSignature: 'ON'으로 설정 시 웹 브라우저에 OHS 버전 정보를 노출. OFF가 권장 값
ON으로 설정 시 404 error를 웹 브라우저에 띄우면 다음과 같이 서버 정보가 노출된다.
728x90
'Oracle > Web Tier' 카테고리의 다른 글
OHS Access log에 ip 주소를 호스트명으로 변경 (0) | 2022.07.15 |
---|---|
OHS plug in module 버전 확인 (0) | 2022.07.15 |
OHS TLS 버전 체크 및 제한 (0) | 2022.07.05 |
orapki로 Wallet 생성 (0) | 2022.06.02 |
OHS upgrade 시 고려해야 할 점 (0) | 2022.05.24 |