정보 누출
(Information disclosure)
개념
웹 사이트에 중요정보가 노출되거나 에러 발생 시 과도한 정보가 노출되는 취약점입니다.
발생 원인
불충분한 보안 대책으로 인해 발생합니다.
위험한 이유
중요정보나 과도한 정보가 노출될 경우 공격자들의 2차 공격을 위한 정보로 활용될 수 있기때문입니다.
조치 방법
- 사용자가 주민등록번호 뒷자리, 비밀번호 입력 시 별표 표시하는 등 마스킹 처리를 하여 주변 사람들에게 노출되지 않도록 합니다.
- 개인정보 조회, 출력 시 아래 사진처럼 일부 정보에 마스킹을 적용하여 표시합니다.
- 웹페이지를 운영 서버에 이관할 때 주석은 모두 제거하여 이관합니다.
- 중요정보를 HTML 소스에 포함하지 않도록 합니다.
- 로그인 실패 시 반환되는 에러 메시지는 특정 ID의 가입 여부를 식별할 수 없게 구현합니다.
- 일반적으로 웹에서 발생하는 에러 메시지는 400, 500번대의 에러 코드를 반환하는데 이러한 에러 코드에 대해 별도의 에러 페이지로 Redirect 하거나 적절한 에러처리 루틴을 설정하여 처리되도록 합니다.
'주요정보통신기반 시설 가이드' 카테고리의 다른 글
크로스사이트 스크립팅이란? (2) | 2024.03.17 |
---|---|
악성 콘텐츠란? (0) | 2024.03.17 |
디렉터리 인덱싱이란? (0) | 2024.03.17 |
XPath 인젝션이란? (0) | 2024.03.17 |
SSI 인젝션이란? (0) | 2024.03.17 |