2024. 5. 1. 20:07ㆍProject/Web Application-모의해킹
시큐어 코딩 : 에러코드 별 에러처리 루틴 설정
1) 개요
Project:Web Site 웹 사이트 에러 페이지에서 발견된 정보 누출 취약점을 방지하기 위하여 대응 방안 중 하나인 에러코드 별 에러처리 루틴을 설정하여 실제로 정보 누출 취약점을 방지할 수 있는지 확인한다.
2) 방법
Project:Web Site 웹 사이트에서 에러가 발생하면 출력되는 에러 페이지에서 웹 서버 버전이 노출되는 것을 확인할 수 있다. 이는 웹 서버마다 설정 파일이 존재하며 해당 파일에서 출력되는 에러코드에 따라 에러 페이지를 커스텀하여 웹 서버 버전 정보가 노출되는 것을 방지할 수 있다. 본 웹 사이트는 Apache를 사용하므로 설정 파일인 httpd.conf에서 ErrorDocument 옵션 값을 설정하여 에러코드별 에러처리 루틴을 설정한다.
3) 시큐어 코딩
[1] Apache 내 httpd.conf 파일 설정
웹 브라우저 주소창에 웹 서버 내 존재하지 않는 파일을 요청하여 에러를 의도적으로 유발하여 에러 페이지가 출력되었다. 에러 페이지가 출력되었더니 웹 서버 버전 정보가 자세히 노출되어 있는 것을 확인하였다. 또한 웹 서버 내에 존재하지 않는 파일 혹은 디렉터리를 요청하는 에러는 코드가 404이므로 에러코드 404에 대하여 에러처리 루틴을 설정한다.
httpd.conf 또는 apache2.conf 파일에서 공란에 ErrorDocument 옵션을 입력한다. 위 사진에서 표시된 내용은 404 에러가 발생하면 "This Page is 404 ErrorCode Page" 텍스트가 출력되도록 설정하였다.
에러 페이지를 출력했더니 설정한 텍스트가 출력되는 것을 확인하였다.
'Project > Web Application-모의해킹' 카테고리의 다른 글
[Web Application-모의해킹] 크로스사이트 스크립팅(XSS) : 시큐어 코딩(사용자 입력 값 검증 로직 구현) #6-2 (0) | 2024.05.04 |
---|---|
[Web Application-모의해킹] 크로스사이트 스크립팅(XSS) : 대응 방안 #6-1 (0) | 2024.05.04 |
[Web Application-모의해킹] 정보 누출 : 시큐어 코딩(웹 서버 설정 파일 변경) #5-2 (0) | 2024.05.01 |
[Web Application-모의해킹] 정보 누출 : 대응 방안 #5-1 (0) | 2024.05.01 |
[Web Application-모의해킹] 디렉터리 인덱싱 : 시큐어 코딩(웹 서버 설정 파일 변경) #4-3 (0) | 2024.05.01 |