안녕하세요? 허니입니다. 불필요한 주석에 의한 정보 노출 취약점에 대해서 알아보고 대응 방법에 대해 알아보도록 하겠습니다. 사이버 해킹에 대해 공부하시는 학생이나 연구원 분이 계시면 도움이 될 것이라 생각합니다.
개발자는 복잡하고 정확한 동작 구현을 위하여 작은 단위의 테스트 코드를 작성하여 실행하여 보거나 자세한 주석을 작성하여 기입하면서 구현을 한다. 테스트한 로직 및 중요한 정보에 대한 주석에 대한 처리 미흡으로 서버 컴파일에서 제거 되거나 일반 사용자에게 노출 되면 안 되는 정보들이 노출 되어 공격자에게 중요한 정보를 제공하게 되는 가능성이 있다.
대응방법
클라이언트에서 구현되는 HTML등의 소스는 사용자에게 공개되어 있는 것과 동일하므로 중요한 로직 및 주석에 대한 처리는 웹 서버에서 구현되는 언어와 같이 처리되도록 작성하여야 한다.
|
Client Side 언어 |
Server Side 언어 |
|
HTML, Java Script, VB Script 등 |
ASP, JSP, PHP, Perl 등 |
'Past Material' 카테고리의 다른 글
| 취약한 게시판 소프트웨어 사용에 따른 구성 그리고 대응방법은? (0) | 2017.08.06 |
|---|---|
| 공개소프트웨어 사용에 따른 보안 구성 그리고 대응방법은? (0) | 2017.08.05 |
| 오류페이지를 통한 정보 노출 취약점 그리고 대응방법은? (0) | 2017.08.03 |
| 디렉터리 목록 노출 취약점 그리고 대응방법은? (0) | 2017.08.02 |
| Command Injection 취약점 그리고 대응방법은? (0) | 2017.08.01 |