이번 시간에는 두 번째 웹 취약점인 디렉터리 나열 (Directory Listing) 취약점에 대해 알아보도록 하겠습니다.
디렉터리 나열 취약점이란?
- 디렉터리 리스팅 또는 디렉터리 인덱싱, 디렉터리 나열 등으로 불리는 취약점이다.
- 웹 애플리케이션을 사용하고 있는 서버의 미흡한 설정으로인해 인덱싱 기능이 활성화 되어 있을 경우 발생하는 취약점으로 브라우징하는 모든 파일들을 위 사진과 같이 보여주는 취약점이다.
- 예시로 우측 사진과 같이 상위 URL뒤에 특정 경로를 입력하여 쿼리를 서버로 전송하게 될 경우 해당 경로에 있는 디렉터리와 파일들이 노출되어 지는 취약점이 바로 디렉터리 나열 취약점이다.
디렉터리 나열 취약점으로 인해 발생할 수 있는 보안 위협
- 디렉터리 나열 취약점이 존재할 경우 특정 디렉터리 내 파일 및 디렉터리가 노출되고, 다운로드와 같은 작업도 가능한 상태이기 때문에 해당 웹 서버에 민감한 정보 등이 포함된 파일이 있을 경우 공격자에게 유출되는 문제가 발생할 수 있습니다.
디렉터리 나열 취약점 대응 방안
- 웹 서버의 설정 파일에서 디렉터리 나열 기능을 비활성화한다.
- 디렉터리마다 인덱스 파일을 제공하여 사용자가 디렉터리 목록을 볼 수 없도록 한다. => 해당 경로에 접근 요청을 보낼 경우 인덱스 파일이 기본 페이지처럼 제공되는 방식
- WAF ( Web Applicaiton Firewall )를 사용하여 디렉터리 나열과 같은 요청을 차단한다.
'CERT > 웹 취약점' 카테고리의 다른 글
| [웹 취약점]계정 관리 취약점의 정의 및 대응 방안 (0) | 2023.04.08 |
|---|---|
| [웹 취약점]취약한 파일 존재 취약점 정의 및 대응 방안 (0) | 2023.04.08 |
| [웹 취약점] 불필요한 Method 허용 취약점의 정의 및 대응 방안 (0) | 2023.04.01 |
| [웹 취약점]시스템 관리 취약점의 정의 및 대응 방안 (0) | 2023.04.01 |
| [웹 취약점]관리자 페이지 노출 취약점의 정의 및 대응 방안 (0) | 2023.04.01 |
