[Web Application-모의해킹] 정보 누출 : 시큐어 코딩(에러 코드에 대한 별도의 에러처리 루틴 설정) #5-3

2024. 5. 1. 20:07Project/Web Application-모의해킹

 

시큐어 코딩 : 에러코드 별 에러처리 루틴 설정

 

1) 개요

 

  Project:Web Site 웹 사이트 에러 페이지에서 발견된 정보 누출 취약점을 방지하기 위하여 대응 방안 중 하나인 에러코드 별 에러처리 루틴을 설정하여 실제로 정보 누출 취약점을 방지할 수 있는지 확인한다.

 

 

2) 방법

 

  Project:Web Site 웹 사이트에서 에러가 발생하면 출력되는 에러 페이지에서 웹 서버 버전이 노출되는 것을 확인할 수 있다. 이는 웹 서버마다 설정 파일이 존재하며 해당 파일에서 출력되는 에러코드에 따라 에러 페이지를 커스텀하여 웹 서버 버전 정보가 노출되는 것을 방지할 수 있다. 본 웹 사이트는 Apache를 사용하므로 설정 파일인 httpd.conf에서 ErrorDocument 옵션 값을 설정하여 에러코드별 에러처리 루틴을 설정한다. 

 

 

3) 시큐어 코딩

 

[1] Apache 내 httpd.conf 파일 설정

 

 

  웹 브라우저 주소창에 웹 서버 내 존재하지 않는 파일을 요청하여 에러를 의도적으로 유발하여 에러 페이지가 출력되었다. 에러 페이지가 출력되었더니 웹 서버 버전 정보가 자세히 노출되어 있는 것을 확인하였다. 또한 웹 서버 내에 존재하지 않는 파일 혹은 디렉터리를 요청하는 에러는 코드가 404이므로 에러코드 404에 대하여 에러처리 루틴을 설정한다.

 

 

  httpd.conf 또는 apache2.conf 파일에서 공란에 ErrorDocument 옵션을 입력한다. 위 사진에서 표시된 내용은 404 에러가 발생하면 "This Page is 404 ErrorCode Page" 텍스트가 출력되도록 설정하였다.

 

 

  에러 페이지를 출력했더니 설정한 텍스트가 출력되는 것을 확인하였다.