안녕하세요? 허니입니다. 백업 파일 및 테스트 파일 존재 취약점에 대해서 알아보고 대응 방법에 대해 알아보도록 하겠습니다. 사이버 해킹에 대해 공부하시는 학생이나 연구원 분이 계시면 도움이 될 것이라 생각합니다.
개발 과정에서 생긴 백업 파일은 웹 상에 쉽게 노출 될 수 있으며 .bak, .org, .old, .zip, .log 등 사용자 임의의 파일명을 사용하게 됩니다. 이러한 파일명은 웹 서버 설정에서 php, asp, jsp등 해당 스크립트를 해석하도록 설정이 되어 있지 않은 경우가 많아 웹 상에서 소스가 그대로 노출 될 수 있습니다.
테스트 파일 존재 대응방법
웹 디렉터리를 조사하여 다음과 같은 백업파일을 모두 삭제 하고, *.txt 같이 작업 중 생성된 일반 텍스트 파일이나 이미지 파일 등도 제거합니다.
|
삭제해야 할 파일 확장자 | |||
|
*.bak |
*.backup |
*.org |
*.old |
|
*.zip |
*.log |
*.! |
*.sql |
|
*.new |
*.txt |
*.tmp |
*.temp |
백업파일은 백업계획을 수립하여 안전한 곳에 정기적으로 백업을 해야 하며 웹 서버상에는 웹 서버상에는 운영에 필요한 최소한의 파일만을 생성하도록 해야 합니다.
Default 파일 존재 대응방법
웹 서버 설정 후 Default Page 와 Default Directory 및 Banner를 삭제하여 Banner Grab에 의한 시스템 정보 유출을 차단합니다. Apache, IIS, Tomcat 등 각 웹 서버 설정 시 함께 제공되는 Sample 디렉터리 및 Manual 디렉터리, Sample Application을 삭제하여 보안 위험을 최소화 합니다.
'Past Material' 카테고리의 다른 글
| 월가에서 선전하는 넷플릭스 주식 (0) | 2017.07.26 |
|---|---|
| 쿠키/세션 인증 취약점 그리고 대응방법은? (0) | 2017.07.26 |
| 코넬 노트 정리 방법에 대해 아시나요? (0) | 2017.07.24 |
| 관리자 페이지 노출 및 추측 취약점 그리고 대응방법은? (1) | 2017.07.24 |
| 해킹 프로그램 Terabit Virus Maker 이라고 아시나요? (0) | 2017.07.23 |