디렉터리 인덱싱 / 리스팅 취약점
: 웹 어플리케이션을 사용하고 있는 서버의 미흡한 설정으로 인해 인덱싱 기능이 활성화가 되어있을 경우, 공격자가 강제 브라우징을 통해 서버 내의 모든 드렉터리 및 파일에 대한 인덱싱이 가능하여 웹 어플리케이션 및 서버의 주요 정보가 노출될 수 있는 취약점을 말한다.
# 아파치 웹서버 환경설정 파일 (httpd.conf)을 통한 디렉터리 인덱싱/리스팅 제한
Options - Indexes FollowSymLinks
- 제한할 디렉터리에 Options 지시자의 Indexes 설정을 제거 한다.
제한된 디렉터리 인덱싱/리스팅 테스트
- 디렉터리 인덱싱/리스팅 공격 시 403 Forbidden(금지) 응답 메세지가 반환됨을 확인할 수 있다.
# ISS/Tomcat 환경
ISS의 웹서버의 등록 정보에서 홈 디렉터리의 탭의 " 디렉터리 검색" 기능을 해제한다.
Tomcat 웹서버 환경에서의 디렉터리 인덱싱/리스팅 제한 ( 취약한 설정)
web.xml...
.
..
<init-param>
<param-name>listings</param-name>
<param-value>true</param-value>
</init-param>
..
Tomcat 웹 설정파일(Web.xml)의 서블릿 파라미터 설정에 "listing 파라미터" (디렉터리 리스팅 설정)을 false로 설정
'Tech > 정보보안 요약노트' 카테고리의 다른 글
| SSL/TLS HeartBleed (0) | 2020.07.07 |
|---|---|
| DBD ( Drive By Download ) (0) | 2020.07.07 |
| URL 인코딩 이란 ? (0) | 2020.02.07 |
| 웹 어플리케이션 취약점 (0) | 2019.03.15 |
| Snort (스노트) (0) | 2019.03.08 |