취약점점검- 정보누출

정보누출 이란?

웹 어플리케이션의 민감한 정보가 개발자의 부주의로 인해 노출되는 것으로 중요 정보(관리자 계정 및 테스트 계정 등)를 주석구문에 포함시켜 의도하지 않게 정보가 노출되는 취약점

취약점 개요

점검내용	■ 웹 서비스 시 에러  페이지 노출 여부 점검
점검목적	■ 에러 상황에서 적절한 에러 페이지가 노출되도록 하여 2차 공격애 활용될 수 있는 불필요한 노     출을 차단하기 위함
보안위협	■ 웹사이트 내 적절한 에러 페이지가 마련되지 않는 경우 오류 메시지에서 웹 사이트의 민감한     정보(소스코드 내 계정 및 비밀번호, 애플리케이션정보, DB정보, 웹서버 구성 정보, 개발과정의     코멘트 등)가 노출되어 공격자들의 2차 공격을 위한 정보로 활용 될 수 있음

 

점검대상 및 판단기준

대상	■ 그누보드(localhost)
판단기준	양호: 웹 서비스 에러 페이지가 별도로 지정되어 있는 경우
	취약: 웹 서비스 에러 페이지가 별도로 지정되지 않아 에러 발생 시 중요 정보가 노출되는 경우
조치방법	발생 가능한 각 에러에 대한 별도의 웹 서비스 에러 페이지를 지정함

 

점검 및 조치 사례

1) URL을 잘못 입력시 서버 정보 및 주요 정보가 노출되는지 확인

임의의 페이지 입력

 

2) 서버 정보가 노출되는 것을 확인 할 수 있다. 

 

서버정보노출

 

※보안설정방법

-html 소스 단에 기록되는 정보는 사용자가 웹 브라우져의 소스보기 기능만을 사용해도 간단히 내용을 볼 수 있으므로,   html 소스 레벨에서 중요 정보를 코멘트 처리하거나 hidden 등의 값으로 기록하지 말아야 함 

-일반적으로 웹에서 발생하는 에러 메시지는 400, 500번대의 에러코드를 리턴하게 되는데 이러한 에러 코드에 대해 별

 도의 에러 페이지로 Redirect하거나 적절한 에러 처리 루틴을 설정하여 처리 되도록 함(전체적인 통합 에러 페이지를 작

 성한 후 모든 에러코드에 대해 통합 에러 페이지로 리다이렉트 되도록 설정)

 

참고

www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원