[취약점] 디렉터리 인덱싱
2024. 3. 22. 15:04ㆍ정보 보안/취약점
정의
특정 디렉터리에 초기 페이지 (index.html, home.html, default.asp 등)의 파일이 존재하지 않을 때 웹 브라우저 주소창에 해당 디렉터리 경로를 입력하면 디렉터리 파일 리스트를 출력하는 취약점을 의미한다.
공격 시나리오
웹 브라우저를 통해 특정 디렉터리 내 파일 리스트를 노출하여 응용시스템의 구조를 외부에 허용할 수 있고, 민감한 정보가 포함된 설정 파일 등이 노출될 수 있다.
대응 방안
- 웹 서버 설정을 변경하여 디렉터리 파일 리스트가 노출되지 않도록 설정
- 특정 디렉터리의 초기 페이지 파일 생성
판단 기준
주요정보통신기반시설
- 양호 : 디렉터리 파일 리스트가 노출되지 않는 경우
- 취약 : 디렉터리 파일 리스트가 노출되는 경우
점검 예시
주요정보통신기반시설
- URL 경로 중 확인하고자 하는 디렉터리까지만 주소창에 입력하여 디렉터리 인덱싱 여부 확인
- 디렉터리 끝에 %3f.jsp 문자열을 붙여 디렉터리 인덱싱이 되는지 확인(jsp로 만들어진 사이트에 한해서 적용) Ex).http://www.test.com/test/%3f.jsp
전자금융기반시설
- URL에 디렉터리 경로를 입력했을 경우 하위 파일 및 디렉터리의 목록의 출력 여부 점검 등
구체적 보안 설정 방법
1. 웹 서버 환경설정에서 디렉터리 인덱싱 기능을 제거한다.
Ex).Apache
httpd.conf 파일 내 DocumentRoot 항목
설정 전
<Directory "/var/www/html">
Options Indexes
</Directory>
설정 후
<Directory "/var/www/html">
Options
</Directory>
2. jsp를 사용하는 경우 %3f.jsp 문자를 필터링해야 한다.
Ex). Apache
<LocationMatch "/(%3f|\?)\.jsp">
AllowOverride None Deny from all
</LocationMatch>
* Resin이나 Tomcat을 사용하는 경우 최신 버전으로 업그레이드해야 한다.
'정보 보안 > 취약점' 카테고리의 다른 글
[취약점] 크로스사이트 스크립팅(XSS) (0) | 2024.03.23 |
---|---|
[취약점] 악성 콘텐츠 (0) | 2024.03.23 |
[취약점] 정보 누출 (0) | 2024.03.23 |
[취약점] SQL 인젝션 (0) | 2024.03.22 |
[취약점] 운영체제 명령 실행 (2) | 2024.03.22 |