[웹보안] 웹 어플리케이션 기본 모듈 제거

 

웹 어플리케이션 서버 관리 또는 예제 모듈 제거

아래는 Tomcat Manager 를 이용해서 웹 어플리케이션을 배치해서 공격당한 경우임.

관리자 계정과 암호가 기본값으로 되어 있었을 것으로 예상됨.

 

관리 모듈(manager, admin) 및 예제 모듈(jsp-examples 등)을 삭제

기본 사용자를 삭제하고 관리자 아이디와 암호를 변경한다.

관리 모듈을 사용해야 한다면 모듈명을 변경하고 특정 아이피에서만 접근가능하도록 하는 등의 조치가 필요하다.