ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • Directory Listing 취약점
    Security/Web 2018.07.28 11:25

    Directory Listing 취약점

    잘못된 보안환경 설정으로 인해 발생하는 취약점입니다.

    브라우징하는 모든 파일을 보여주게 되는데, 대부분의 경우 디렉토리 목록을 보여줍니다.

    백업파일 및 소스코드, 스크립트 파일의 유출로 인한 계정정보 유출과 같은 다양한 정보를 공격자에게 제공하여 제2, 제3의 공격에 이용 될 수 있습니다.

     

     

    직접 한번 실습해봅시다.

    실습

    아래는 vmware에서 구축한 웹 서버의 디렉터리 리스팅 취약점입니다.

     

    구글링으로도 Directory Listing 취약점을 발견할 수 있습니다.

     site:[취약점 진단 도메인] intext:"parent directory" 

     

     site:[취약점 진단 도메인] intext:"index of"

     

    캡처는 보안상 안했습니다.

     

     

    보안대책

    Directory Listing 취약점은 일단 IIS 웹 서버에 디텍터리 검색 설정이 아래와 같이 활성화가 되어 있어야 발생할 수 있습니다.

     

    이 상태에서 기본 문서가 존재하지 않는 경우 Directory Listing이 됩니다.

     

    따라서 IIS 웹 서버의 디렉터리 검색 설정을 해제해주는 것이 보안대책이 될 수 있습니다.

     

    참고로 Apache 웹 서버는 httpd.conf파일의 Indexes 옵션이 On이면 Directory Listing취약점이 발생할 수 있기 때문에 Off로 바꿔주면 됩니다.

     

    'Security > Web' 카테고리의 다른 글

    pangolin 사용법  (0) 2018.07.29
    관리자 페이지 노출(with 평문 노출 취약점)  (0) 2018.07.28
    Directory Listing 취약점  (0) 2018.07.28
    불필요 정보노출 취약점  (0) 2018.07.28
    File Upload 취약점  (1) 2018.07.22
    File Download 취약점  (0) 2018.07.22

    댓글 0

~ ^ . ^ ~