개념
- 예측 가능한 폴더에 불필요한 파일이 존재하는 취약점입니다.
발생 원인
불충분한 보안 대책으로 인해 발생합니다.
위험한 이유
폴더나 파일의 위치가 예측 가능하고 쉽게 노출될 경우 공격자가 이를 악용해 민감한 데이터에 접근하는 2차 피해를 야기시킬 수 있습니다.
조치 방법
- Robots.txt 파일 작성을 통해 검색 차단할 디렉터리 확장자, 페이지 등을 지정할 수 있으며 HTML의 HEAD 태그 내에 META 태그를 추가하여 검색엔진의 인덱싱을 차단합니다.
- 웹 디렉터리를 조사하여 아래의 삭제해야 할 파일 확장자에 포함된 백업 파일을 모두 삭제하고, *.txt 확장자와 같이 작업 중 생성된 일반 텍스트 파일이나 이미지 파일 등도 제거합니다.
- 백업 파일은 백업 계획을 수립하여 안전한 곳에 정기적으로 백업해야 합니다. 웹 서버에서는 운영에 필요한 최소한의 파일만을 생성해야 합니다.
- 웹 서버 설정 후 디폴트 페이지와 디폴트 디렉터리 및 Bannner를 삭제하여 Banner Grab에 의한 시스템 정보 유출을 차단합니다.
- Apache, IIS, Tomcat 등 각 웹 서버 설정 시 함께 제공되는 샘플 디렉터리 및 매뉴얼 디렉터리, 샘플 애플리케이션을 삭제하여 보안 위험을 최소화합니다.
추가 정보
Banner Grab: 네트워크 상의 컴퓨터 시스템 및 서비스에 대한 정보를 수집하는 기술입니다.
'주요정보통신기반 시설 가이드' 카테고리의 다른 글
| 데이터 평문 전송과 쿠키 변조 (0) | 2024.03.21 |
|---|---|
| 관리자 페이지 노출과 경로 추적 (0) | 2024.03.21 |
| 파일 업로드와 파일 다운로드 (0) | 2024.03.21 |
| 자동화 공격과 프로세스 검증 누락 (0) | 2024.03.20 |
| 불충분한 세션 만료와 세션 고정 (0) | 2024.03.20 |