취약점점검- 위치공개
위치 공개란?
개발 과정 또는 소스코드를 수정하였을 경우 백업파일, 로그파일, 압축파일, 테스 트 파일과 같은 파일이 자동적으로 생성되어 웹 어플리케이션 상에 노출될 경우 공격자 가 유추 후 직접 접근을 요청하여 핵심정보를 획득할 수 있는 취약점
취약점 개요
| 점검내용 | ■ 예측 가능한 폴더의 위치 사용 여부 및 불필요한 파일의 존재 여부 점검 |
| 점검목적 | ■ 공격자가 폴더의 위치를 예측하여 파일 및 정보 획득을 방지하고자 함 |
| 보안위협 | ■ 폴더나 파일명의 위치가 예측 가능하고 쉽게 노출되어 공격자가 이를 악용하여 대상의 대한 정 보를 획득하고 민감한 데이터에 접근 가능 |
점검대상 및 판단기준
| 대상 | ■ 그누보드(localhost) |
| 판단기준 | 양호: 불필요한 파일이 존재하지 않고, 샘플 페이지가 존재하지 않을 경우 |
| 취약: 불필요한 파일이 존재하거나, 샘플 페이지가 존재하는 경우 | |
| 조치방법 | 웹사이트 루트 폴더 내의 파일 중 사이트에서 쓰지 않는 불필요한 파일 삭제 및 샘플 페이지 삭제 |
점검 및 조치 사례
1) 웹 루트 디렉터리 내 웹 서비스에 불필요한 확장자(.bak, .backup, .org, .old. .zip, .log, .sql, .new, .txt, .tmp, .tmep) 파
일이 존재 하는지 확인
※보안설정방법
-삭제해야 할 파일 확장자 예시
| 삭제해야 할 파일 확장자 | |||
| *.bak | *.backup | *.org | *.old |
| *.zip | *.log | *.! | *.sql |
| *.new | *.txt | *.tmp | *.temp |
-웹 디렉터리를 조사하여 (표, 삭제해야 할 파일 확장자)에 포함된 백업 파일을 모두 삭제하고, *.txt 같이 작업 중 생성된
일반 텍스트 파일이나 이미지 파일 등도 제거함
-백업 파일은 백업 계획을 수립하여 안전한 곳에 정기적으로 백업해야 하며 웹 서버 상에는 운영에 필요한 최소한의 파
일만의 생성하여야 함
-웹 서버 설정 후 디폴트 페이지와 디폴트 디렉터리 및 Bannner를 삭제하여 Banner Grab에 의한 시스템 정보 유출을 차
단함
-Apache, IIS, Tomcat 등 각 웹 서버 설정 시 함께 제공되는 샘플 디렉터리 및 매뉴얼 디렉터리, 샘플 애플리케이션을 삭
제하여 보안 위험을 최소화 함
참고
www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=
기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원
기술안내서 가이드
www.kisa.or.kr