[JSP] 10. 디폴트 페이지

취약점

기본적으로 제공되는 자원이 공격에 단서가 될수있다. Tomcat이 제공하는 관리 콘솔인 admin과 manager이 그러하다.

admin의 기능으로 페이지 동작상태를 확인하거나 서버정보, JVM, OS정보를 열람할 수 있다.

따라서 기본 관리 콘솔이 불필요시 다음을 찾아 제거해주자!

 

보안조치 

루트 웹디렉토리 내에 admin과 manager 디렉터리가 있는지 확인

 

 

참조

taes-k.github.io/2019/03/08/server-tomcat-admin-start/