お知らせ
2023.12.5(Tue)
技術
2025.11.25(Tue)
ApacheのServerヘッダーにバージョン情報が漏れる問題と安全な設定方法|OWASP ZAP検出エラーを解消
目次
こんにちは。飯塚です。
システム開発の脆弱性検証として、OWASP ZAP を使うことがあります。検知された各脆弱性の理解のために記事にしました。
対応方法はシステムの要件によって変わるため、ここに記載する内容が絶対に脆弱性を防げると保証するものではありません。ご了承ください。
OS, Apache, OWASP ZAPのバージョン
| 項目 | バージョン |
|---|---|
| OS | Debian GNU/Linux 12 (bookworm) |
| Apache | 2.4.XX |
| OWASP ZAP | 2.15.0 |
Server Leaks Version Information via “Server” HTTP Response Header Field とは
直訳すると、HTTPレスポンスヘッダーの Server の項目から、Webサーバーのバージョン情報が漏れている、という意味です。
例えば、Apache のバージョン情報がブラウザから漏れていると、そのバージョンで未対応の脆弱性を突かれる可能性があります。
【ZAP】Server Leaks Version Information via “Server” HTTP Response Header Field
HTTPレスポンスヘッダーの「Server」情報の確認方法
ブラウザの開発者ツール (F12) を開きます。「ネットワーク」> リクエストを選択 >「ヘッダー」タブを選択で下記のように確認できます。
なお、上記サーバーは開発用のため Debian ではなく CentOS となっています。
ApacheでHTTPレスポンスヘッダーの「Server」情報を最小限に絞る設定例
Apache のフォルダ構成
/etc/apache2
|-- apache2.conf
|-- /conf-available
|-- security.conf
Apache の対応
/conf-available/security.conf の ServerTokens を適切に設定します。以下、設定例です。
ServerTokens Prod
デフォルトでは、マイナーバージョンを含む詳細なバージョン情報が公開される設定になっています。意図的な検証を除いて、バージョン情報を公開するメリットはほぼないので、原則「Prod」がよいでしょう。
設定ファイルの変更なので、変更を反映するには Apache の再起動が必要です。
systemctl restart httpd
まとめ
いかがでしょうか。
設定は簡単ですが、サーバー構築時にチェックリストがないと、設定漏れが発生する可能性があるため注意が必要ですね。Apacheがデフォルトで安全な設定値にしてくれればいいのに、なんて思いますが、各システムによって要求されるレベルが異なるのでそうもいかないのでしょう。
参考になれば幸いです。
《関連記事》
ITエンジニアリング事業部
アシスタントリーダー Iizuka 技術の入門・まとめ系を中心に書いてます。あとで読み返したいと感じていただける記事を目指しています。
アシスタントリーダー Iizuka 技術の入門・まとめ系を中心に書いてます。あとで読み返したいと感じていただける記事を目指しています。
MOST VIEWED ARTICLES
よく見られている記事
