Apache Tomcat에서는 Error를 유발했더니 서버 버전 정보가 노출되었다. Error 페이지에서 출력되는 버전 정보를 숨기는 방법은 아래와 같다.

웹 취약점 진단 항목 중에 서버 버전 및 정보의 노출을 확인하는 것이 있다. OWASP에서는 Fingerprint Web Server라고 명시하며, 노출 된 웹 서버의 버전이나 정보를 통해 공격자가 공격을 위한 힌트를 얻을 수 있기 때문에 노출을 자제하도록 권고한다.

XSS는 수 년간 OWASP Top 10에서 사라지지 않는 취약점 중 하나이다. XSS의 주된 공격 타겟은 바로 Session Cookies 탈취라고 한다. 그래서 오늘은 이에 대응할 수 있는 Secure 와 HttpOnly 옵션에 대해 정리하려 한다.