1. 디렉토리 인덱싱 비활성화
톰캣의 설정 파일인 web.xml에서 디렉토리 인덱싱을 비활성화할 수 있습니다. 이를 위해서는 다음과 같은 설정을 추가합니다.
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
</servlet>2. 접근 제어 설정
특정 디렉토리에 대한 접근을 제한하기 위해, web.xml 파일에서 보안 제약을 설정할 수 있습니다. 예를 들어, 인증되지 않은 사용자의 접근을 차단할 수 있습니다.
<security-constraint>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/protected/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>USER</role-name>
</auth-constraint>
</security-constraint>3. 파일 및 디렉토리 권한 설정
서버의 파일 시스템에서 민감한 파일과 디렉토리에 대한 접근 권한을 적절히 설정하여, 불필요한 접근을 차단합니다. 예를 들어, 중요한 파일이 있는 디렉토리는 일반 사용자에게 읽기 권한을 주지 않도록 설정합니다.
4. 보안 업데이트 적용
톰캣 및 관련 라이브러리의 보안 업데이트를 주기적으로 확인하고 적용하여, 알려진 취약점으로부터 시스템을 보호합니다.
5. 로그 모니터링
서버의 접근 로그를 정기적으로 모니터링하여, 비정상적인 접근 시도를 탐지하고 적절히 대응합니다.
이러한 방법들을 통해 톰캣에서의 디렉토리 인덱싱 취약점을 예방하고, 서버의 보안을 강화할 수 있습니다.
DevSecOps ⚙️ + CTF🚩