취약점점검- 디렉터리 인덱싱

디렉터리 인덱싱 이란?

웹 어플리케이션을 사용하고 있는 서버의 미흡한 설정으로 인해 인덱싱 기능이 활성화가 되어있을 경우, 공격자가 강제 브라우징을 통해 서버내의 모든 디렉터리 및 파일에 대해 인덱싱이 가능하여 웹 어플리케이션 및 서버의 주요 정보가 노출될 수 있는 취약점

 

취약점 개요

점검내용	■ 웹서버 내 디렉터리 인덱싱 취약점 존재 여부 점검
점검목적	■ 디렉터리 인덱싱 취약점을 제거하여 특정 디렉터리 내 불필요한 파일 정보의 노출을 차단
보안위협	■ 해당 취약점이 존재할 경우 브라우저를 통해 특정 디렉터리 내 파일 리스트를 노출하여 응용시      스템의 구조를 외부에 허용할 수 있고, 민감한 정보가 포함된 설정 파일등이 노출될 경우 보안      상 심각한 위험을 초래할 수 있음

 

점검대상 및 판단기준

대상	■ 그누보드(localhost)
판단기준	양호: 디렉터리 파일 리스트가 노출되지 않는 경우
	취약: 디렉터리 파일 리스트가 노출되는 경우
조치방법	웹 서버 설정을 변경하여 디렉터리 파일 리스트가 노출 되지 않도록 설정

 

점검 및 조치 사례

1) URL 경로 중 확인하고자 하는 디렉터리 주소 창에 입력하여 인덱싱 여부를 확인

로그인폼

2) 디렉터리내 폴더 및 파일들이 노출 되어 취약

BBS디렉터리노출

※보안설정방법

-웹 서버 환경 설정에서 디렉터리 인덱싱 기능 제거

 Apache: Httpd.conf 파일 내 DocumentRoot 항목의 Options에서 Indexes 제거

 Indexes가 해당 디렉터리의 파일 목록을 보여주는 지시자

설정전	설정후
<Directory "/var/www/html"> Options Indexes  </Directory>	<Directory "/var/www/html">  Options  </Directory>

 

IIS 7.0

설정 → 제어판 → 관리도구 → "인터넷 서비스 관리자" 선택 후 해당 웹 사이트에서 우클릭 후 등록 정보 → [디렉터리 검색] 체크 해제

 

 

참고

www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원