안녕하세요? 허니입니다. 디렉터리 목록 노출 취약점에 대해서 알아보고 대응 방법에 대해 알아보도록 하겠습니다. 사이버 해킹에 대해 공부하시는 학생이나 연구원 분이 계시면 도움이 될 것이라 생각합니다.
WAS의 환경 설정 미흡으로 웹 디렉터리 호출 시 해당 WAS의 디렉터리 목록이 외부에 노출되는 취약점입니다. 인터넷 사용자에게 모든 디렉토리 및 파일 목록이 노출되고, 파일의 열람 및 저장도 가능하게 되어 비공개 자료가 유출될 위험이 있습니다.
일반적인 대응방법
서버의 설정을 변경하여 기본 페이지가 없을 경우 Directory 목록이 노출되지 않도록 해야 합니다.
웹서버별 대응방법
- 보안설정(IIS)
윈도우 웹 서버의 경우 [제어판] > [관리도구] > [인터넷 서비스 관리자](혹은[인터넷 정보서비스]) 메뉴에서 [기본 웹 사이트]의 마우스 오른쪽 클릭 > [속성] > [기본 웹 사이트 등록 정보] > [홈 디렉토리] > [디렉토리 검색] 체크를 해제합니다.
[그림 2] 디렉토리 검색불가 설정
- 보안설정(Apache)
아파치 웹 서버의 경우 httpd.conf 파일내용 중 Options 항목 뒤에 Indexes 단어를 삭제한 후 웹 서버 데몬을 재구동
|
httpd.conf 파일 경로 |
|
/etc/httpd/conf/httpd.conf |
[그림 3] httpd.conf 파일내용
[그림 4] Indexes 설정 삭제
|
서버 종류 |
웹 데몬 재구동 명령어 |
|
리눅스 웹 서버 |
/etc/rc.d/init.d/httpd restart |
|
유닉스 웹 서버 |
(ps-ef | grep httpd 명령어를 통해 파악된 모든 웹 데몬(PID)들을 종료(kill) 시킨 후) /etc/rc3.d/S50apache start |
'Past Material' 카테고리의 다른 글
| 불필요한 주석에 의한 정보 노출 취약점 그리고 대응방법은? (0) | 2017.08.04 |
|---|---|
| 오류페이지를 통한 정보 노출 취약점 그리고 대응방법은? (0) | 2017.08.03 |
| Command Injection 취약점 그리고 대응방법은? (0) | 2017.08.01 |
| 패스워드 정책 유무 및 반영 여부 그리고 대응방법은? (0) | 2017.07.31 |
| 취약한 계정 및 Default 계정 사용 취약점 그리고 대응방법은? (0) | 2017.07.30 |