[취약점] 디렉터리 인덱싱

2024. 3. 22. 15:04정보 보안/취약점

 

정의

 

  특정 디렉터리에 초기 페이지 (index.html, home.html, default.asp 등)의 파일이 존재하지 않을 때 웹 브라우저 주소창에 해당 디렉터리 경로를 입력하면 디렉터리  파일 리스트를 출력하는 취약점을 의미한다.

 

 

공격 시나리오

 

  웹 브라우저를 통해 특정 디렉터리 내 파일 리스트를 노출하여 응용시스템의 구조를 외부에 허용할 수 있고, 민감한 정보가 포함된 설정 파일 등이 노출될 수 있다.

 

 

대응 방안

 

  • 웹 서버 설정을 변경하여 디렉터리 파일 리스트가 노출되지 않도록 설정
  • 특정 디렉터리의 초기 페이지 파일 생성

 

 

판단 기준

 

주요정보통신기반시설

  • 양호 : 디렉터리 파일 리스트가 노출되지 않는 경우
  • 취약 : 디렉터리 파일 리스트가 노출되는 경우

 

 

점검 예시

 

주요정보통신기반시설

  • URL 경로 중 확인하고자 하는 디렉터리까지만 주소창에 입력하여 디렉터리 인덱싱 여부 확인
  • 디렉터리 끝에 %3f.jsp 문자열을 붙여 디렉터리 인덱싱이 되는지 확인(jsp로 만들어진 사이트에 한해서 적용) Ex).http://www.test.com/test/%3f.jsp

 

전자금융기반시설

  •  URL에 디렉터리 경로를 입력했을 경우 하위 파일 및 디렉터리의 목록의 출력 여부 점검 등

 

 

구체적 보안 설정 방법

 

1. 웹 서버 환경설정에서 디렉터리 인덱싱 기능을 제거한다.

Ex).Apache

httpd.conf 파일 내 DocumentRoot 항목

설정 전

<Directory "/var/www/html">
Options Indexes
</Directory>

설정 후
<Directory "/var/www/html">
Options 
</Directory>

 

2. jsp를 사용하는 경우 %3f.jsp 문자를 필터링해야 한다.

Ex). Apache

<LocationMatch "/(%3f|\?)\.jsp">
AllowOverride None Deny from all
</LocationMatch>

* Resin이나 Tomcat을 사용하는 경우 최신 버전으로 업그레이드해야 한다.

'정보 보안 > 취약점' 카테고리의 다른 글

[취약점] 크로스사이트 스크립팅(XSS)  (0) 2024.03.23
[취약점] 악성 콘텐츠  (0) 2024.03.23
[취약점] 정보 누출  (0) 2024.03.23
[취약점] SQL 인젝션  (0) 2024.03.22
[취약점] 운영체제 명령 실행  (2) 2024.03.22